Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Xiny.1513
Загружает из Интернета следующие детектируемые угрозы:
- Android.Xiny.1513
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) adl.a####.net:5285
- TCP(TLS/1.0) ssl.gst####.com:443
- TCP(TLS/1.0) www.go####.nl:443
- TCP(TLS/1.0) adser####.go####.nl:443
- TCP(TLS/1.0) www.go####.com:443
- TCP(TLS/1.0) www.gst####.com:443
- TCP(TLS/1.0) adser####.go####.com:443
- TCP(TLS/1.0) googl####.g.doublec####.net:443
- TCP d.angs####.com:9270
Запросы DNS:
- adl.a####.net
- adser####.go####.com
- adser####.go####.nl
- d.angs####.com
- googl####.g.doublec####.net
- ssl.gst####.com
- www.go####.com
- www.go####.nl
- www.gst####.com
Запросы HTTP GET:
- adl.a####.net:5285/dd/a/dl?appId=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.edata
- /data/data/####/XinZF.xml
- /data/data/####/XinZF_conf.xml
- /data/data/####/XinZFsmspay.db
- /data/data/####/XinZFsmspay.db-journal
- /data/data/####/a4b645a09e1352ed9a43ff469655db6d_3_1_5.zip.tmp
- /data/data/####/classes.dex
- /data/data/####/classes.dve
- /data/data/####/classes.jar
- /data/data/####/com.SecShell.tmp2122
- /data/data/####/com.SecShell.tmp2208
- /data/data/####/com.SecShell.tmp2230
- /data/data/####/com.SecShell.tmp2252
- /data/data/####/com.SecShell.tmp2284
- /data/data/####/com.SecShell.tmp2306
- /data/data/####/com.SecShell.tmp2328
- /data/data/####/com.SecShell.tmp2360
- /data/data/####/com.SecShell.tmp2382
- /data/data/####/com.SecShell.tmp2404
- /data/data/####/com.SecShell.tmp2436
- /data/data/####/com.SecShell.tmp2458
- /data/data/####/com.SecShell.tmp2480
- /data/data/####/com.SecShell.tmp2518
- /data/data/####/com.SecShell.tmp2541
- /data/data/####/com.SecShell.tmp2563
- /data/data/####/com.SecShell.tmp2595
- /data/data/####/com.SecShell.tmp2619
- /data/data/####/com.SecShell.tmp2641
- /data/data/####/com.SecShell.tmp2673
- /data/data/####/com.SecShell.tmp2695
- /data/data/####/com.SecShell.tmp2717
- /data/data/####/com.SecShell.tmp2750
- /data/data/####/com.SecShell.tmp2772
- /data/data/####/com.SecShell.tmp2794
- /data/data/####/com.SecShell.tmp2825
- /data/data/####/com.SecShell.tmp2848
- /data/data/####/com.SecShell.tmp2870
- /data/data/####/com.SecShell.tmp2902
- /data/data/####/com.SecShell.tmp2924
- /data/data/####/com.SecShell.tmp2946
- /data/data/####/com.SecShell.tmp2980
- /data/data/####/com.SecShell.tmp3002
- /data/data/####/com.SecShell.tmp3024
- /data/data/####/com.SecShell.tmp3055
- /data/data/####/com.SecShell.tmp3055 (deleted)
- /data/data/####/com.SecShell.tmp3078
- /data/data/####/com.SecShell.tmp3100
- /data/data/####/com.SecShell.tmp3133
- /data/data/####/com.SecShell.tmp3155
- /data/data/####/com.SecShell.tmp3177
- /data/data/####/com.SecShell.tmp3208
- /data/data/####/com.SecShell.tmp3231
- /data/data/####/com.SecShell.tmp3253
- /data/data/####/com.SecShell.tmp3284
- /data/data/####/com.SecShell.tmp3308
- /data/data/####/com.SecShell.tmp3330
- /data/data/####/com.SecShell.tmp3362
- /data/data/####/com.SecShell.tmp3384
- /data/data/####/com.SecShell.tmp3406
- /data/data/####/com.SecShell.tmp3438
- /data/data/####/com.SecShell.tmp3461
- /data/data/####/com.SecShell.tmp3483
- /data/data/####/com.SecShell.tmp3515
- /data/data/####/com.SecShell.tmp3537
- /data/data/####/com.SecShell.tmp3559
- /data/data/####/com.SecShell.tmp3581
- /data/data/####/com.SecShell.tmp3603
- /data/data/####/com.SecShell.tmp3625
- /data/data/####/com.SecShell.tmp3657
- /data/data/####/com.SecShell.tmp3679
- /data/data/####/com.SecShell.tmp3701
- /data/data/####/com.SecShell.tmp3734
- /data/data/####/com.SecShell.tmp3756
- /data/data/####/com.SecShell.tmp3778
- /data/data/####/com.SecShell.tmp3852
- /data/data/####/com.SecShell.tmp3874
- /data/data/####/com.SecShell.tmp3897
- /data/data/####/com.SecShell.tmp3945
- /data/data/####/com.SecShell.tmp3967
- /data/data/####/com.SecShell.tmp3989
- /data/data/####/com.SecShell.tmp4031
- /data/data/####/com.SecShell.tmp4053
- /data/data/####/com.SecShell.tmp4075
- /data/data/####/com.SecShell.tmp4117
- /data/data/####/com.SecShell.tmp4139
- /data/data/####/com.SecShell.tmp4161
- /data/data/####/com.SecShell.tmp4202
- /data/data/####/com.SecShell.tmp4224
- /data/data/####/com.SecShell.tmp4246
- /data/data/####/com.SecShell.tmp4280
- /data/data/####/com.SecShell.tmp4303
- /data/data/####/com.SecShell.tmp4325
- /data/data/####/com.SecShell.tmp4367
- /data/data/####/com.SecShell.tmp4389
- /data/data/####/com.SecShell.tmp4411
- /data/data/####/com.SecShell.tmp4461
- /data/media/####/.nomedia
- /data/media/####/plugin.apk
- /data/media/####/z.jar
Другие:
Запускает следующие shell-скрипты:
- /system/bin/su
- app_process system/bin com.google.provider.vendor.tool.Main /storage/emulated/0/goog1e/data/plugin.apk
- ls -l /system/bin/su
- sh -c cat /sys/block/mmcblk0/device/cid
- sh -c cat /sys/class/net/wlan0/address
Загружает динамические библиотеки:
- SecShell
- cocos2djs
- libSecShell-x86
- na0857
Использует повышенные привилегии.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из SMS.
Получает информацию об отправленых/принятых SMS.
