Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Xiny.1513
Загружает из Интернета следующие детектируемые угрозы:
- Android.Xiny.1513
Предлагает установить сторонние приложения.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) 1####.131.200.81:80
- TCP(HTTP/1.1) adl.a####.net:5285
- TCP(HTTP/1.1) l####.bigb####.com:6099
- TCP(HTTP/1.1) ap.bigb####.com:6099
- TCP(HTTP/1.1) 1####.74.142.118:8152
- TCP(HTTP/1.1) d.angs####.com:5284
- TCP d.angs####.com:9270
- TCP 1####.231.132.35:9270
Запросы DNS:
- adl.a####.net
- ap.bigb####.com
- d.angs####.com
- l####.bigb####.com
Запросы HTTP GET:
- adl.a####.net:5285/dd/a/dl?appId=####
Запросы HTTP POST:
- ap.bigb####.com:6099/aps/
- d.angs####.com:5284/android.frontserver/collect/error
- l####.bigb####.com:6099/aps/
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.edata
- /data/data/####/JiePay.xml
- /data/data/####/XinZF.xml
- /data/data/####/XinZF_conf.xml
- /data/data/####/XinZFsmspay.db
- /data/data/####/XinZFsmspay.db-journal
- /data/data/####/_fq_1.1.0_use.jar
- /data/data/####/a4b645a09e1352ed9a43ff469655db6d_3_1_5.zip.tmp
- /data/data/####/buntutu_data_s.xml
- /data/data/####/classes.dex
- /data/data/####/classes.dve
- /data/data/####/classes.jar
- /data/data/####/com.SecShell.tmp2140
- /data/data/####/com.SecShell.tmp2246
- /data/data/####/com.SecShell.tmp2276
- /data/data/####/com.SecShell.tmp2306
- /data/data/####/com.SecShell.tmp2352
- /data/data/####/com.SecShell.tmp2382
- /data/data/####/com.SecShell.tmp2412
- /data/data/####/com.SecShell.tmp2455
- /data/data/####/com.SecShell.tmp2485
- /data/data/####/com.SecShell.tmp2515
- /data/data/####/com.SecShell.tmp2556
- /data/data/####/com.SecShell.tmp2587
- /data/data/####/com.SecShell.tmp2617
- /data/data/####/com.SecShell.tmp2659
- /data/data/####/com.SecShell.tmp2689
- /data/data/####/com.SecShell.tmp2719
- /data/data/####/com.SecShell.tmp2763
- /data/data/####/com.SecShell.tmp2793
- /data/data/####/com.SecShell.tmp2823
- /data/data/####/com.SecShell.tmp2864
- /data/data/####/com.SecShell.tmp2894
- /data/data/####/com.SecShell.tmp2924
- /data/data/####/com.SecShell.tmp2965
- /data/data/####/com.SecShell.tmp2995
- /data/data/####/com.SecShell.tmp3025
- /data/data/####/com.SecShell.tmp3066
- /data/data/####/com.SecShell.tmp3096
- /data/data/####/com.SecShell.tmp3126
- /data/data/####/com.SecShell.tmp3168
- /data/data/####/com.SecShell.tmp3198
- /data/data/####/com.SecShell.tmp3228
- /data/data/####/com.SecShell.tmp3269
- /data/data/####/com.SecShell.tmp3299
- /data/data/####/com.SecShell.tmp3329
- /data/data/####/com.SecShell.tmp3369
- /data/data/####/com.SecShell.tmp3399
- /data/data/####/com.SecShell.tmp3429
- /data/data/####/com.SecShell.tmp3468
- /data/data/####/com.SecShell.tmp3499
- /data/data/####/com.SecShell.tmp3529
- /data/data/####/com.SecShell.tmp3569
- /data/data/####/com.SecShell.tmp3600
- /data/data/####/com.SecShell.tmp3630
- /data/data/####/com.SecShell.tmp3671
- /data/data/####/com.SecShell.tmp3701
- /data/data/####/com.SecShell.tmp3731
- /data/data/####/com.SecShell.tmp3773
- /data/data/####/com.SecShell.tmp3803
- /data/data/####/com.SecShell.tmp3833
- /data/data/####/com.SecShell.tmp3873
- /data/data/####/com.SecShell.tmp3903
- /data/data/####/com.SecShell.tmp3933
- /data/data/####/com.SecShell.tmp3973
- /data/data/####/com.SecShell.tmp4003
- /data/data/####/com.SecShell.tmp4033
- /data/data/####/com.SecShell.tmp4076
- /data/data/####/com.SecShell.tmp4106
- /data/data/####/com.SecShell.tmp4136
- /data/data/####/com.SecShell.tmp4176
- /data/data/####/com.SecShell.tmp4207
- /data/data/####/com.SecShell.tmp4237
- /data/data/####/com.SecShell.tmp4295
- /data/data/####/dmmoodd.xml
- /data/data/####/jiepay_config.xml
- /data/data/####/jiepayplugin.apk
- /data/data/####/jiepayplugin.apkdata
- /data/data/####/jiepaysmspay.db
- /data/data/####/jiepaysmspay.db-journal
- /data/data/####/mm_nw_app.xml
- /data/data/####/orbgi.jar
- /data/data/####/sfp
- /data/data/####/uid.f
- /data/data/####/yapfq.db
- /data/data/####/yapfq.db-journal
- /data/local/####/buntutu_daemon
- /data/media/####/1B3A2967E5FD862EFD957606C65C8122
- /data/media/####/2887A00B589C85A5FF5607D7EB45E7C8
- /data/media/####/30592A6B8B0C769E3F7FDE6E1A033DF5
- /data/media/####/buntutu.jaru
- /data/media/####/plugin.apk
- /data/media/####/z.jar
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /proc/cpuinfo
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/su
- app_process system/bin com.google.provider.vendor.tool.Main /storage/emulated/0/goog1e/data/plugin.apk
- cat /sys/block/mmcblk0/device/cid
- ls -l /system/bin/su
- sh
- sh -c cat /sys/block/mmcblk0/device/cid
- sh -c cat /sys/class/net/wlan0/address
Загружает динамические библиотеки:
- SecShell
- cocos2djs
- libSecShell-x86
- na0857
Использует следующие алгоритмы для шифрования данных:
- DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- DES-CBC-PKCS5Padding
Использует повышенные привилегии.
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из SMS.
Получает информацию об отправленых/принятых SMS.
