Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Spy.2440
Сетевая активность:
Подключается к:
- TCP(/v3/tracker?os=android&osver=4.3.1&model=GT-I8190&e=java.io.IOException%3A+java.lang.UnsatisfiedLinkError%3A+Native+method+not+found%3A+com.ishumei.dfp.SMSDK.z1%3A%28Landroid%2Fcontent%2FContext%3B%29Ljava%2Flang%2FString%3B%0A%09at+com.ishumei.dfp.SMSDK.z2%28Unknown+Source%29%0A%09at+fm.h.e%28Unknown+Source%29%0A%09at+fv.a.a%28Unknown+Source%29%0A%09at+fv.a.a%28Unknown+Source%29%0A%09at+com.taojj.module.common.base.a.b%28BaseApplication.java%3A232%29%0A%09at+com.taojj.module.common.base.a.onCreate%28BaseApplication.java%3A203%29%0A%09at+com.app.shanjiang.main.MainApp.onCreate%28MainApp.java%3A217%29%0A%09at+com.tencent.StubShell.TxAppEntry.runCreate%28Native+Method%29%0A%09at+com.tencent.StubShell.TxAppEntry.onCreate%28Unknown+Source%29%0A%09at+android.app.Instrumentation.callApplicationOnCreate%28Instrumentation.java%3A1007%29%0A%09at+android.app.ActivityThread.handleBindApplication%28ActivityThread.java%3A4447%29%0A%09at+android.app.ActivityThread.access%241300%28ActivityThread.java%3A141%29%0A%09at+android.app.ActivityThread%24H.handleMessage%28ActivityThread.java%3A1316%29%0A%09at+android.os.Handler.dispatchMessage%28Handler.java%3A99%29%0A%09at+android.os.Looper.loop%28Looper.java%3A137%29%0A%09at+android.app.ActivityThread.main%28ActivityThread.java%3A5106%29%0A%09at+java.lang.reflect.Method.invokeNative%28Native+Method%29%0A%09at+java.lang.reflect.Method.invoke%28Method.java%3A532%29%0A%09at+com.android.internal.os.ZygoteInit%24MethodAndArgsCaller.run%28ZygoteInit.java%3A737%29%0A%09at+com.android.internal.os.ZygoteInit.main%28ZygoteInit.java%3A553%29%0A%09at+dalvik.system.NativeStart.main%28Native+Method%29%0ACaused+by%3A+java.lang.UnsatisfiedLinkError%3A+Na) sdk-sh####.tao####.com:80
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) aexcep####.b####.qq.com:8011
- TCP(HTTP/1.1) aexcep####.b####.qq.com:8012
- TCP(HTTP/1.1) sdk-sh####.tao####.com:80
- TCP(HTTP/1.1) and####.b####.qq.com:80
Запросы DNS:
- a####.b####.qq.com
- aexcep####.b####.qq.com
- and####.b####.qq.com
- sdk-sh####.tao####.com
Запросы HTTP GET:
- sdk-sh####.tao####.com/
- sdk-sh####.tao####.com/v3/tracker?os=####&osver=####&model=####&e=####&o...
- sdk-sh####.tao####.com/v3/tracker?os=####&osver=####&model=####&e=java.#...
Запросы HTTP POST:
- aexcep####.b####.qq.com:8011/rqd/async
- aexcep####.b####.qq.com:8012/rqd/async
- and####.b####.qq.com/rqd/async
Изменения в файловой системе:
Создает следующие файлы:
- /data/anr/traces.txt
- /data/data/####/MultiDex.lock
- /data/data/####/bugly_db_legu-journal
- /data/data/####/libnfix.so
- /data/data/####/libshella-3.0.0.0.so
- /data/data/####/libufix.so
- /data/data/####/local_crash_lock
- /data/data/####/mix.dex
- /data/data/####/multidex.version.xml
- /data/data/####/native_record_lock
- /data/data/####/security_info
- /data/data/####/system_device_id.uuid.xml
- /data/data/####/tracker.db-journal
- /data/media/####/system_device_id.uuid
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop ro.aa.romver
- /system/bin/sh -c getprop ro.board.platform
- /system/bin/sh -c getprop ro.build.fingerprint
- /system/bin/sh -c getprop ro.build.nubia.rom.name
- /system/bin/sh -c getprop ro.build.rom.id
- /system/bin/sh -c getprop ro.build.tyd.kbstyle_version
- /system/bin/sh -c getprop ro.build.version.emui
- /system/bin/sh -c getprop ro.build.version.opporom
- /system/bin/sh -c getprop ro.gn.gnromvernumber
- /system/bin/sh -c getprop ro.lenovo.series
- /system/bin/sh -c getprop ro.lewa.version
- /system/bin/sh -c getprop ro.meizu.product.model
- /system/bin/sh -c getprop ro.miui.ui.version.name
- /system/bin/sh -c getprop ro.vivo.os.build.display.id
- /system/bin/sh -c type su
- chmod 700 <Package Folder>/tx_shell/libnfix.so
- chmod 700 <Package Folder>/tx_shell/libshella-3.0.0.0.so
- chmod 700 <Package Folder>/tx_shell/libufix.so
- getprop ro.aa.romver
- getprop ro.board.platform
- getprop ro.build.fingerprint
- getprop ro.build.nubia.rom.name
- getprop ro.build.rom.id
- getprop ro.build.tyd.kbstyle_version
- getprop ro.build.version.emui
- getprop ro.build.version.opporom
- getprop ro.gn.gnromvernumber
- getprop ro.lenovo.series
- getprop ro.lewa.version
- getprop ro.meizu.product.model
- getprop ro.miui.ui.version.name
- getprop ro.vivo.os.build.display.id
- getprop ro.yunos.version
- logcat -d -v threadtime
Загружает динамические библиотеки:
- Bugly
- libnfix
- libshella-3.0.0.0
- libufix
- nfix
- smsdk
- ufix
Использует следующие алгоритмы для шифрования данных:
- AES-GCM-NoPadding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- 1
- AES-CBC-PKCS7Padding
- AES-GCM-NoPadding
- DES-ECB-NoPadding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о телефоне (номер, IMEI и т. д.).
