Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.RemoteCode.907
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) ji####.jieme####.com:8152
- TCP(HTTP/1.1) 1####.159.131.193:10201
- TCP(HTTP/1.1) gd.a.s####.com:80
- TCP(HTTP/1.1) l####.i####.com:9820
- TCP(HTTP/1.1) x####.ha####.com:80
- TCP(HTTP/1.1) sdk.api.qiazhiw####.cn:10201
- TCP(HTTP/1.1) v####.api.eeric####.com:80
- TCP(HTTP/1.1) sdk.api.qiazhiw####.cn:10001
- TCP(HTTP/1.1) api.y####.com:8080
- TCP(HTTP/1.1) 1####.129.132.111:8001
- TCP(TLS/1.0) 1####.217.20.78:443
Запросы DNS:
- api.y####.com
- i####.api.qiazhiw####.cn
- i####.api.qiazhiw####.cn
- ji####.jieme####.com
- jx.ha####.com
- l####.i####.com
- pv.s####.com
- sdk.api.qiazhiw####.cn
- v####.api.eeric####.com
- wn.qiazhiw####.cn
- x####.ha####.com
Запросы HTTP GET:
- gd.a.s####.com/cityjson?ie=####
- x####.ha####.com/getconfig.aspx
- x####.ha####.com/getjar.aspx?pno=####
Запросы HTTP POST:
- api.y####.com:8080/sdk/mobile-submit
- ji####.jieme####.com:8152/ryf_webserver/payment/checkupdate.html
- l####.i####.com:9820/chnlt/ltpay/ckui.do
- sdk.api.qiazhiw####.cn:10001/v2/adconfig/get?app_id=####&t=####
- sdk.api.qiazhiw####.cn:10001/v2/bag/monitor?app_id=####&t=####
- sdk.api.qiazhiw####.cn:10001/v2/sdk/init?app_id=####&t=####
- sdk.api.qiazhiw####.cn:10001/v2/update/check?app_id=####&t=####
- sdk.api.qiazhiw####.cn:10201/v2/sdk/report?app_id=####&t=####
- v####.api.eeric####.com/api/payment/mobileInit.html
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/3bc118e7ad398c7a8458b13abdad5a720;account_file.xml
- /data/data/####/SP_REPLACE_CLASSLOADER_CLASS_NAME.xml
- /data/data/####/com.rthfgf4zfd.fgsd3r3df.xml
- /data/data/####/config50419.xml
- /data/data/####/jiepay_config.xml
- /data/data/####/jiepayplugin.apk
- /data/data/####/new_md.jar
- /data/data/####/pref_file.xml
- /data/data/####/sms_db
- /data/data/####/sms_db-journal
- /data/data/####/td_pefercen_profile.xml
- /data/data/####/tdid.xml
- /data/data/####/up0517294106
- /data/data/####/uuid.xml
- /data/data/####/webview.db-journal
- /data/data/####/wochi_v4.db-journal
- /data/data/####/yf.apk
- /data/media/####/.tcookieid
- /data/media/####/uid.sys
Другие:
Загружает динамические библиотеки:
- rtd323dd
Использует следующие алгоритмы для шифрования данных:
- DES
- DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES
- AES-CBC-PKCS5Padding
- DES
- DES-CBC-PKCS5Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Содержит функциональность для автоматической отправки SMS.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из SMS.
Получает информацию об отправленых/принятых SMS.
