Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Xiny.1513
Загружает из Интернета следующие детектируемые угрозы:
- Android.Xiny.1513
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) ji####.jieme####.com:8152
- TCP(HTTP/1.1) adl.a####.net:5285
- TCP(HTTP/1.1) hd.a####.com:80
- TCP(HTTP/1.1) l####.bigb####.com:6099
- TCP(HTTP/1.1) ap.bigb####.com:6099
- TCP d.angs####.com:9270
Запросы DNS:
- adl.a####.net
- ap.bigb####.com
- d.angs####.com
- ji####.dl####.com
- ji####.jieme####.com
- l####.bigb####.com
Запросы HTTP GET:
- adl.a####.net:5285/dd/a/dl?appId=####
- hd.a####.com/jieplginf/djmdeta29x
Запросы HTTP POST:
- ap.bigb####.com:6099/aps/
- ji####.jieme####.com:8152/ryf_webserver/payment/checkupdate.html
- l####.bigb####.com:6099/aps/
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.edata
- /data/data/####/JiePay.xml
- /data/data/####/XinZF.xml
- /data/data/####/XinZF_conf.xml
- /data/data/####/XinZFsmspay.db
- /data/data/####/XinZFsmspay.db-journal
- /data/data/####/_fq_1.1.0_use.jar
- /data/data/####/a4b645a09e1352ed9a43ff469655db6d_3_1_5.zip.tmp
- /data/data/####/classes.dex
- /data/data/####/classes.dve
- /data/data/####/classes.jar
- /data/data/####/com.SecShell.tmp2139
- /data/data/####/com.SecShell.tmp2242
- /data/data/####/com.SecShell.tmp2282
- /data/data/####/com.SecShell.tmp2313
- /data/data/####/com.SecShell.tmp2354
- /data/data/####/com.SecShell.tmp2385
- /data/data/####/com.SecShell.tmp2415
- /data/data/####/com.SecShell.tmp2458
- /data/data/####/com.SecShell.tmp2488
- /data/data/####/com.SecShell.tmp2521
- /data/data/####/com.SecShell.tmp2562
- /data/data/####/com.SecShell.tmp2592
- /data/data/####/com.SecShell.tmp2622
- /data/data/####/com.SecShell.tmp2664
- /data/data/####/com.SecShell.tmp2694
- /data/data/####/com.SecShell.tmp2724
- /data/data/####/com.SecShell.tmp2766
- /data/data/####/com.SecShell.tmp2797
- /data/data/####/com.SecShell.tmp2827
- /data/data/####/com.SecShell.tmp2868
- /data/data/####/com.SecShell.tmp2898
- /data/data/####/com.SecShell.tmp2928
- /data/data/####/com.SecShell.tmp2971
- /data/data/####/com.SecShell.tmp3002
- /data/data/####/com.SecShell.tmp3032
- /data/data/####/com.SecShell.tmp3072
- /data/data/####/com.SecShell.tmp3102
- /data/data/####/com.SecShell.tmp3132
- /data/data/####/com.SecShell.tmp3174
- /data/data/####/com.SecShell.tmp3204
- /data/data/####/com.SecShell.tmp3234
- /data/data/####/com.SecShell.tmp3264
- /data/data/####/com.SecShell.tmp3294
- /data/data/####/com.SecShell.tmp3324
- /data/data/####/com.SecShell.tmp3364
- /data/data/####/com.SecShell.tmp3394
- /data/data/####/com.SecShell.tmp3424
- /data/data/####/com.SecShell.tmp3465
- /data/data/####/com.SecShell.tmp3495
- /data/data/####/com.SecShell.tmp3525
- /data/data/####/com.SecShell.tmp3568
- /data/data/####/com.SecShell.tmp3599
- /data/data/####/com.SecShell.tmp3630
- /data/data/####/com.SecShell.tmp3672
- /data/data/####/com.SecShell.tmp3702
- /data/data/####/com.SecShell.tmp3732
- /data/data/####/com.SecShell.tmp3774
- /data/data/####/com.SecShell.tmp3804
- /data/data/####/com.SecShell.tmp3834
- /data/data/####/com.SecShell.tmp3874
- /data/data/####/com.SecShell.tmp3904
- /data/data/####/com.SecShell.tmp3934
- /data/data/####/com.SecShell.tmp3975
- /data/data/####/com.SecShell.tmp4005
- /data/data/####/com.SecShell.tmp4035
- /data/data/####/com.SecShell.tmp4075
- /data/data/####/com.SecShell.tmp4105
- /data/data/####/com.SecShell.tmp4135
- /data/data/####/com.SecShell.tmp4175
- /data/data/####/com.SecShell.tmp4205
- /data/data/####/com.SecShell.tmp4235
- /data/data/####/com.SecShell.tmp4276
- /data/data/####/com.SecShell.tmp4307
- /data/data/####/com.SecShell.tmp4337
- /data/data/####/com.SecShell.tmp4379
- /data/data/####/com.SecShell.tmp4409
- /data/data/####/com.SecShell.tmp4439
- /data/data/####/com.SecShell.tmp4497
- /data/data/####/dmmoodd.xml
- /data/data/####/jiepay_config.xml
- /data/data/####/jiepayplugin.apk
- /data/data/####/jiepayplugin.apkdata
- /data/data/####/jiepaysmspay.db
- /data/data/####/jiepaysmspay.db-journal
- /data/data/####/orbgi.jar
- /data/data/####/sfp
- /data/data/####/uid.f
- /data/data/####/yapfq.db
- /data/data/####/yapfq.db-journal
- /data/media/####/plugin.apk
- /data/media/####/z.jar
Другие:
Запускает следующие shell-скрипты:
- /system/bin/su
- app_process system/bin com.google.provider.vendor.tool.Main /storage/emulated/0/goog1e/data/plugin.apk
- ls -l /system/bin/su
- sh
- sh -c cat /sys/block/mmcblk0/device/cid
- sh -c cat /sys/class/net/wlan0/address
Загружает динамические библиотеки:
- SecShell
- cocos2djs
- libSecShell-x86
- na0857
Использует следующие алгоритмы для шифрования данных:
- DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- DES-CBC-PKCS5Padding
Использует повышенные привилегии.
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из SMS.
Получает информацию об отправленых/принятых SMS.
