Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Xiny.1513
Загружает из Интернета следующие детектируемые угрозы:
- Android.Xiny.1513
Предлагает установить сторонние приложения.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) d.angs####.com:5284
- TCP(HTTP/1.1) adl.a####.net:5285
- TCP d.angs####.com:9270
Запросы DNS:
- adl.a####.net
- d.angs####.com
Запросы HTTP GET:
- adl.a####.net:5285/dd/a/dl?appId=####
Запросы HTTP POST:
- d.angs####.com:5284/android.frontserver/collect/error
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.edata
- /data/data/####/XinZF.xml
- /data/data/####/XinZF_conf.xml
- /data/data/####/XinZFsmspay.db
- /data/data/####/XinZFsmspay.db-journal
- /data/data/####/a4b645a09e1352ed9a43ff469655db6d_3_1_5.zip.tmp
- /data/data/####/classes.dex
- /data/data/####/classes.dve
- /data/data/####/classes.jar
- /data/data/####/com.SecShell.tmp2106
- /data/data/####/com.SecShell.tmp2202
- /data/data/####/com.SecShell.tmp2224
- /data/data/####/com.SecShell.tmp2246
- /data/data/####/com.SecShell.tmp2280
- /data/data/####/com.SecShell.tmp2302
- /data/data/####/com.SecShell.tmp2324
- /data/data/####/com.SecShell.tmp2357
- /data/data/####/com.SecShell.tmp2379
- /data/data/####/com.SecShell.tmp2401
- /data/data/####/com.SecShell.tmp2437
- /data/data/####/com.SecShell.tmp2459
- /data/data/####/com.SecShell.tmp2481
- /data/data/####/com.SecShell.tmp2513
- /data/data/####/com.SecShell.tmp2535
- /data/data/####/com.SecShell.tmp2557
- /data/data/####/com.SecShell.tmp2589
- /data/data/####/com.SecShell.tmp2611
- /data/data/####/com.SecShell.tmp2633
- /data/data/####/com.SecShell.tmp2665
- /data/data/####/com.SecShell.tmp2687
- /data/data/####/com.SecShell.tmp2709
- /data/data/####/com.SecShell.tmp2741
- /data/data/####/com.SecShell.tmp2763
- /data/data/####/com.SecShell.tmp2785
- /data/data/####/com.SecShell.tmp2817
- /data/data/####/com.SecShell.tmp2839
- /data/data/####/com.SecShell.tmp2861
- /data/data/####/com.SecShell.tmp2893
- /data/data/####/com.SecShell.tmp2915
- /data/data/####/com.SecShell.tmp2937
- /data/data/####/com.SecShell.tmp2971
- /data/data/####/com.SecShell.tmp2993
- /data/data/####/com.SecShell.tmp3015
- /data/data/####/com.SecShell.tmp3046
- /data/data/####/com.SecShell.tmp3069
- /data/data/####/com.SecShell.tmp3091
- /data/data/####/com.SecShell.tmp3124
- /data/data/####/com.SecShell.tmp3146
- /data/data/####/com.SecShell.tmp3168
- /data/data/####/com.SecShell.tmp3201
- /data/data/####/com.SecShell.tmp3223
- /data/data/####/com.SecShell.tmp3245
- /data/data/####/com.SecShell.tmp3277
- /data/data/####/com.SecShell.tmp3300
- /data/data/####/com.SecShell.tmp3322
- /data/data/####/com.SecShell.tmp3354
- /data/data/####/com.SecShell.tmp3377
- /data/data/####/com.SecShell.tmp3399
- /data/data/####/com.SecShell.tmp3432
- /data/data/####/com.SecShell.tmp3454
- /data/data/####/com.SecShell.tmp3476
- /data/data/####/com.SecShell.tmp3510
- /data/data/####/com.SecShell.tmp3532
- /data/data/####/com.SecShell.tmp3554
- /data/data/####/com.SecShell.tmp3587
- /data/data/####/com.SecShell.tmp3610
- /data/data/####/com.SecShell.tmp3632
- /data/data/####/com.SecShell.tmp3663
- /data/data/####/com.SecShell.tmp3686
- /data/data/####/com.SecShell.tmp3708
- /data/data/####/com.SecShell.tmp3740
- /data/data/####/com.SecShell.tmp3762
- /data/data/####/com.SecShell.tmp3784
- /data/data/####/com.SecShell.tmp3815
- /data/data/####/com.SecShell.tmp3838
- /data/data/####/com.SecShell.tmp3860
- /data/data/####/com.SecShell.tmp3895
- /data/data/####/com.SecShell.tmp3917
- /data/data/####/com.SecShell.tmp3939
- /data/data/####/com.SecShell.tmp3971
- /data/data/####/com.SecShell.tmp3993
- /data/data/####/com.SecShell.tmp4015
- /data/data/####/com.SecShell.tmp4047
- /data/data/####/com.SecShell.tmp4069
- /data/data/####/com.SecShell.tmp4091
- /data/data/####/com.SecShell.tmp4139
- /data/media/####/plugin.apk
- /data/media/####/z.jar
Другие:
Запускает следующие shell-скрипты:
- /system/bin/su
- app_process system/bin com.google.provider.vendor.tool.Main /storage/emulated/0/goog1e/data/plugin.apk
- ls -l /system/bin/su
- sh
- sh -c cat /sys/block/mmcblk0/device/cid
- sh -c cat /sys/class/net/wlan0/address
Загружает динамические библиотеки:
- SecShell
- cocos2djs
- libSecShell-x86
- na0857
Использует повышенные привилегии.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из SMS.
Получает информацию об отправленых/принятых SMS.
