Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Xiny.1513
Загружает из Интернета следующие детектируемые угрозы:
- Android.Xiny.1513
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) 1####.23.236.250:6099
- TCP(HTTP/1.1) adl.a####.net:5285
- TCP(HTTP/1.1) l####.bigb####.com:6099
- TCP(TLS/1.0) ssl.gst####.com:443
- TCP(TLS/1.0) www.go####.nl:443
- TCP(TLS/1.0) adser####.go####.nl:443
- TCP(TLS/1.0) www.go####.com:443
- TCP(TLS/1.0) www.gst####.com:443
- TCP(TLS/1.0) adser####.go####.com:443
- TCP(TLS/1.0) googl####.g.doublec####.net:443
- TCP d.angs####.com:9270
- TCP 1####.231.132.35:9270
Запросы DNS:
- adl.a####.net
- adser####.go####.com
- adser####.go####.nl
- d.angs####.com
- googl####.g.doublec####.net
- l####.bigb####.com
- ssl.gst####.com
- www.go####.com
- www.go####.nl
- www.gst####.com
Запросы HTTP GET:
- adl.a####.net:5285/dd/a/dl?appId=####
Запросы HTTP POST:
- l####.bigb####.com:6099/aps/
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.edata
- /data/data/####/XinZF.xml
- /data/data/####/XinZF_conf.xml
- /data/data/####/XinZFsmspay.db
- /data/data/####/XinZFsmspay.db-journal
- /data/data/####/a4b645a09e1352ed9a43ff469655db6d_3_1_5.zip.tmp
- /data/data/####/classes.dex
- /data/data/####/classes.dve
- /data/data/####/classes.jar
- /data/data/####/com.SecShell.tmp2132
- /data/data/####/com.SecShell.tmp2231
- /data/data/####/com.SecShell.tmp2254
- /data/data/####/com.SecShell.tmp2277
- /data/data/####/com.SecShell.tmp2312
- /data/data/####/com.SecShell.tmp2335
- /data/data/####/com.SecShell.tmp2358
- /data/data/####/com.SecShell.tmp2395
- /data/data/####/com.SecShell.tmp2418
- /data/data/####/com.SecShell.tmp2441
- /data/data/####/com.SecShell.tmp2466
- /data/data/####/com.SecShell.tmp2500
- /data/data/####/com.SecShell.tmp2523
- /data/data/####/com.SecShell.tmp2556
- /data/data/####/com.SecShell.tmp2579
- /data/data/####/com.SecShell.tmp2602
- /data/data/####/com.SecShell.tmp2635
- /data/data/####/com.SecShell.tmp2658
- /data/data/####/com.SecShell.tmp2681
- /data/data/####/com.SecShell.tmp2715
- /data/data/####/com.SecShell.tmp2738
- /data/data/####/com.SecShell.tmp2761
- /data/data/####/com.SecShell.tmp2794
- /data/data/####/com.SecShell.tmp2818
- /data/data/####/com.SecShell.tmp2841
- /data/data/####/com.SecShell.tmp2875
- /data/data/####/com.SecShell.tmp2898
- /data/data/####/com.SecShell.tmp2921
- /data/data/####/com.SecShell.tmp2954
- /data/data/####/com.SecShell.tmp2978
- /data/data/####/com.SecShell.tmp3001
- /data/data/####/com.SecShell.tmp3024
- /data/data/####/com.SecShell.tmp3057
- /data/data/####/com.SecShell.tmp3080
- /data/data/####/com.SecShell.tmp3115
- /data/data/####/com.SecShell.tmp3138
- /data/data/####/com.SecShell.tmp3161
- /data/data/####/com.SecShell.tmp3194
- /data/data/####/com.SecShell.tmp3218
- /data/data/####/com.SecShell.tmp3241
- /data/data/####/com.SecShell.tmp3274
- /data/data/####/com.SecShell.tmp3297
- /data/data/####/com.SecShell.tmp3320
- /data/data/####/com.SecShell.tmp3353
- /data/data/####/com.SecShell.tmp3376
- /data/data/####/com.SecShell.tmp3399
- /data/data/####/com.SecShell.tmp3432
- /data/data/####/com.SecShell.tmp3455
- /data/data/####/com.SecShell.tmp3478
- /data/data/####/com.SecShell.tmp3542
- /data/data/####/com.SecShell.tmp3565
- /data/data/####/com.SecShell.tmp3589
- /data/data/####/com.SecShell.tmp3635
- /data/data/####/com.SecShell.tmp3659
- /data/data/####/com.SecShell.tmp3682
- /data/data/####/com.SecShell.tmp3726
- /data/data/####/com.SecShell.tmp3749
- /data/data/####/com.SecShell.tmp3772
- /data/data/####/com.SecShell.tmp3806
- /data/data/####/com.SecShell.tmp3829
- /data/data/####/com.SecShell.tmp3852
- /data/data/####/com.SecShell.tmp3887
- /data/data/####/com.SecShell.tmp3910
- /data/data/####/com.SecShell.tmp3933
- /data/data/####/com.SecShell.tmp3970
- /data/data/####/com.SecShell.tmp3993
- /data/data/####/com.SecShell.tmp4016
- /data/data/####/com.SecShell.tmp4048
- /data/data/####/com.SecShell.tmp4072
- /data/data/####/com.SecShell.tmp4095
- /data/data/####/com.SecShell.tmp4128
- /data/data/####/com.SecShell.tmp4151
- /data/data/####/com.SecShell.tmp4174
- /data/data/####/com.SecShell.tmp4216
- /data/data/####/com.SecShell.tmp4239
- /data/data/####/com.SecShell.tmp4262
- /data/data/####/com.SecShell.tmp4298
- /data/data/####/com.SecShell.tmp4321
- /data/data/####/com.SecShell.tmp4344
- /data/data/####/com.SecShell.tmp4394
- /data/data/####/orbgi.jar
- /data/data/####/uid.f
- /data/media/####/.nomedia
- /data/media/####/plugin.apk
- /data/media/####/z.jar
Другие:
Запускает следующие shell-скрипты:
- /system/bin/su
- app_process system/bin com.google.provider.vendor.tool.Main /storage/emulated/0/goog1e/data/plugin.apk
- ls -l /system/bin/su
- sh -c cat /sys/block/mmcblk0/device/cid
- sh -c cat /sys/class/net/wlan0/address
Загружает динамические библиотеки:
- SecShell
- cocos2djs
- libSecShell-x86
- na0857
Использует повышенные привилегии.
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из SMS.
Получает информацию об отправленых/принятых SMS.
