Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Xiny.1513
Загружает из Интернета следующие детектируемые угрозы:
- Android.Xiny.1513
Предлагает установить сторонние приложения.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) adl.a####.net:5285
- TCP d.angs####.com:9270
Запросы DNS:
- adl.a####.net
- d.angs####.com
Запросы HTTP GET:
- adl.a####.net:5285/dd/a/dl?appId=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.edata
- /data/data/####/XinZF.xml
- /data/data/####/XinZF_conf.xml
- /data/data/####/XinZFsmspay.db
- /data/data/####/XinZFsmspay.db-journal
- /data/data/####/a4b645a09e1352ed9a43ff469655db6d_3_1_5.zip.tmp
- /data/data/####/classes.dex
- /data/data/####/classes.dve
- /data/data/####/classes.jar
- /data/data/####/com.SecShell.tmp2135
- /data/data/####/com.SecShell.tmp2221
- /data/data/####/com.SecShell.tmp2243
- /data/data/####/com.SecShell.tmp2265
- /data/data/####/com.SecShell.tmp2308
- /data/data/####/com.SecShell.tmp2330
- /data/data/####/com.SecShell.tmp2352
- /data/data/####/com.SecShell.tmp2374
- /data/data/####/com.SecShell.tmp2396
- /data/data/####/com.SecShell.tmp2418
- /data/data/####/com.SecShell.tmp2453
- /data/data/####/com.SecShell.tmp2475
- /data/data/####/com.SecShell.tmp2497
- /data/data/####/com.SecShell.tmp2529
- /data/data/####/com.SecShell.tmp2551
- /data/data/####/com.SecShell.tmp2573
- /data/data/####/com.SecShell.tmp2605
- /data/data/####/com.SecShell.tmp2627
- /data/data/####/com.SecShell.tmp2649
- /data/data/####/com.SecShell.tmp2680
- /data/data/####/com.SecShell.tmp2703
- /data/data/####/com.SecShell.tmp2725
- /data/data/####/com.SecShell.tmp2757
- /data/data/####/com.SecShell.tmp2779
- /data/data/####/com.SecShell.tmp2801
- /data/data/####/com.SecShell.tmp2833
- /data/data/####/com.SecShell.tmp2855
- /data/data/####/com.SecShell.tmp2877
- /data/data/####/com.SecShell.tmp2909
- /data/data/####/com.SecShell.tmp2931
- /data/data/####/com.SecShell.tmp2953
- /data/data/####/com.SecShell.tmp2984
- /data/data/####/com.SecShell.tmp3008
- /data/data/####/com.SecShell.tmp3030
- /data/data/####/com.SecShell.tmp3062
- /data/data/####/com.SecShell.tmp3084
- /data/data/####/com.SecShell.tmp3106
- /data/data/####/com.SecShell.tmp3139
- /data/data/####/com.SecShell.tmp3161
- /data/data/####/com.SecShell.tmp3183
- /data/data/####/com.SecShell.tmp3214
- /data/data/####/com.SecShell.tmp3238
- /data/data/####/com.SecShell.tmp3260
- /data/data/####/com.SecShell.tmp3293
- /data/data/####/com.SecShell.tmp3315
- /data/data/####/com.SecShell.tmp3337
- /data/data/####/com.SecShell.tmp3371
- /data/data/####/com.SecShell.tmp3393
- /data/data/####/com.SecShell.tmp3415
- /data/data/####/com.SecShell.tmp3446
- /data/data/####/com.SecShell.tmp3469
- /data/data/####/com.SecShell.tmp3491
- /data/data/####/com.SecShell.tmp3523
- /data/data/####/com.SecShell.tmp3545
- /data/data/####/com.SecShell.tmp3567
- /data/data/####/com.SecShell.tmp3589
- /data/data/####/com.SecShell.tmp3611
- /data/data/####/com.SecShell.tmp3633
- /data/data/####/com.SecShell.tmp3665
- /data/data/####/com.SecShell.tmp3687
- /data/data/####/com.SecShell.tmp3709
- /data/data/####/com.SecShell.tmp3742
- /data/data/####/com.SecShell.tmp3764
- /data/data/####/com.SecShell.tmp3786
- /data/data/####/com.SecShell.tmp3818
- /data/data/####/com.SecShell.tmp3840
- /data/data/####/com.SecShell.tmp3862
- /data/data/####/com.SecShell.tmp3894
- /data/data/####/com.SecShell.tmp3916
- /data/data/####/com.SecShell.tmp3938
- /data/data/####/com.SecShell.tmp3970
- /data/data/####/com.SecShell.tmp3992
- /data/data/####/com.SecShell.tmp4014
- /data/data/####/com.SecShell.tmp4045
- /data/data/####/com.SecShell.tmp4068
- /data/data/####/com.SecShell.tmp4090
- /data/data/####/com.SecShell.tmp4122
- /data/data/####/com.SecShell.tmp4144
- /data/data/####/com.SecShell.tmp4166
- /data/data/####/com.SecShell.tmp4197
- /data/data/####/com.SecShell.tmp4220
- /data/data/####/com.SecShell.tmp4242
- /data/data/####/com.SecShell.tmp4294
- /data/media/####/plugin.apk
- /data/media/####/z.jar
Другие:
Запускает следующие shell-скрипты:
- /system/bin/su
- app_process system/bin com.google.provider.vendor.tool.Main /storage/emulated/0/goog1e/data/plugin.apk
- ls -l /system/bin/su
- sh -c cat /sys/block/mmcblk0/device/cid
- sh -c cat /sys/class/net/wlan0/address
Загружает динамические библиотеки:
- SecShell
- cocos2djs
- libSecShell-x86
- na0857
Использует повышенные привилегии.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из SMS.
Получает информацию об отправленых/принятых SMS.
