Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Xiny.1513
Загружает из Интернета следующие детектируемые угрозы:
- Android.Xiny.1513
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) l####.bigb####.com:6099
- TCP(HTTP/1.1) ap.bigb####.com:6099
- TCP(HTTP/1.1) adl.a####.net:5285
- TCP d.angs####.com:9270
Запросы DNS:
- adl.a####.net
- ap.bigb####.com
- d.angs####.com
- l####.bigb####.com
Запросы HTTP GET:
- adl.a####.net:5285/dd/a/dl?appId=####
Запросы HTTP POST:
- ap.bigb####.com:6099/aps/
- l####.bigb####.com:6099/aps/
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.edata
- /data/data/####/XinZF.xml
- /data/data/####/XinZF_conf.xml
- /data/data/####/XinZFsmspay.db
- /data/data/####/XinZFsmspay.db-journal
- /data/data/####/a4b645a09e1352ed9a43ff469655db6d_3_1_5.zip
- /data/data/####/a4b645a09e1352ed9a43ff469655db6d_3_1_5.zip.tmp
- /data/data/####/classes.dex
- /data/data/####/classes.dve
- /data/data/####/classes.jar
- /data/data/####/com.SecShell.tmp2128
- /data/data/####/com.SecShell.tmp2231
- /data/data/####/com.SecShell.tmp2254
- /data/data/####/com.SecShell.tmp2277
- /data/data/####/com.SecShell.tmp2310
- /data/data/####/com.SecShell.tmp2333
- /data/data/####/com.SecShell.tmp2356
- /data/data/####/com.SecShell.tmp2389
- /data/data/####/com.SecShell.tmp2412
- /data/data/####/com.SecShell.tmp2435
- /data/data/####/com.SecShell.tmp2469
- /data/data/####/com.SecShell.tmp2492
- /data/data/####/com.SecShell.tmp2518
- /data/data/####/com.SecShell.tmp2552
- /data/data/####/com.SecShell.tmp2575
- /data/data/####/com.SecShell.tmp2598
- /data/data/####/com.SecShell.tmp2631
- /data/data/####/com.SecShell.tmp2654
- /data/data/####/com.SecShell.tmp2677
- /data/data/####/com.SecShell.tmp2710
- /data/data/####/com.SecShell.tmp2733
- /data/data/####/com.SecShell.tmp2756
- /data/data/####/com.SecShell.tmp2792
- /data/data/####/com.SecShell.tmp2815
- /data/data/####/com.SecShell.tmp2838
- /data/data/####/com.SecShell.tmp2872
- /data/data/####/com.SecShell.tmp2895
- /data/data/####/com.SecShell.tmp2918
- /data/data/####/com.SecShell.tmp2951
- /data/data/####/com.SecShell.tmp2974
- /data/data/####/com.SecShell.tmp2997
- /data/data/####/com.SecShell.tmp3032
- /data/data/####/com.SecShell.tmp3055
- /data/data/####/com.SecShell.tmp3078
- /data/data/####/com.SecShell.tmp3111
- /data/data/####/com.SecShell.tmp3135
- /data/data/####/com.SecShell.tmp3158
- /data/data/####/com.SecShell.tmp3191
- /data/data/####/com.SecShell.tmp3214
- /data/data/####/com.SecShell.tmp3237
- /data/data/####/com.SecShell.tmp3270
- /data/data/####/com.SecShell.tmp3293
- /data/data/####/com.SecShell.tmp3316
- /data/data/####/com.SecShell.tmp3350
- /data/data/####/com.SecShell.tmp3373
- /data/data/####/com.SecShell.tmp3396
- /data/data/####/com.SecShell.tmp3430
- /data/data/####/com.SecShell.tmp3453
- /data/data/####/com.SecShell.tmp3476
- /data/data/####/com.SecShell.tmp3499
- /data/data/####/com.SecShell.tmp3522
- /data/data/####/com.SecShell.tmp3545
- /data/data/####/com.SecShell.tmp3580
- /data/data/####/com.SecShell.tmp3603
- /data/data/####/com.SecShell.tmp3626
- /data/data/####/com.SecShell.tmp3659
- /data/data/####/com.SecShell.tmp3682
- /data/data/####/com.SecShell.tmp3705
- /data/data/####/com.SecShell.tmp3739
- /data/data/####/com.SecShell.tmp3763
- /data/data/####/com.SecShell.tmp3786
- /data/data/####/com.SecShell.tmp3820
- /data/data/####/com.SecShell.tmp3843
- /data/data/####/com.SecShell.tmp3866
- /data/data/####/com.SecShell.tmp3899
- /data/data/####/com.SecShell.tmp3922
- /data/data/####/com.SecShell.tmp3945
- /data/data/####/com.SecShell.tmp3978
- /data/data/####/com.SecShell.tmp4001
- /data/data/####/com.SecShell.tmp4024
- /data/data/####/com.SecShell.tmp4057
- /data/data/####/com.SecShell.tmp4080
- /data/data/####/com.SecShell.tmp4103
- /data/data/####/com.SecShell.tmp4137
- /data/data/####/com.SecShell.tmp4160
- /data/data/####/com.SecShell.tmp4183
- /data/data/####/com.SecShell.tmp4235
- /data/data/####/orbgi.jar
- /data/data/####/uid.f
- /data/media/####/plugin.apk
- /data/media/####/z.jar
Другие:
Запускает следующие shell-скрипты:
- /system/bin/su
- app_process system/bin com.google.provider.vendor.tool.Main /storage/emulated/0/goog1e/data/plugin.apk
- ls -l /system/bin/su
- sh -c cat /sys/block/mmcblk0/device/cid
- sh -c cat /sys/class/net/wlan0/address
Загружает динамические библиотеки:
- SecShell
- cocos2djs
- libSecShell-x86
- na0857
Использует повышенные привилегии.
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из SMS.
Получает информацию об отправленых/принятых SMS.
