Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Xiny.1513
Загружает из Интернета следующие детектируемые угрозы:
- Android.Xiny.1513
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) adl.a####.net:5285
- TCP d.angs####.com:9270
Запросы DNS:
- adl.a####.net
- d.angs####.com
Запросы HTTP GET:
- adl.a####.net:5285/dd/a/dl?appId=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.edata
- /data/data/####/XinZF.xml
- /data/data/####/XinZF_conf.xml
- /data/data/####/XinZFsmspay.db
- /data/data/####/XinZFsmspay.db-journal
- /data/data/####/a4b645a09e1352ed9a43ff469655db6d_3_1_5.zip.tmp
- /data/data/####/classes.dex
- /data/data/####/classes.dve
- /data/data/####/classes.jar
- /data/data/####/com.SecShell.tmp2914
- /data/data/####/com.SecShell.tmp3000
- /data/data/####/com.SecShell.tmp3022
- /data/data/####/com.SecShell.tmp3044
- /data/data/####/com.SecShell.tmp3076
- /data/data/####/com.SecShell.tmp3098
- /data/data/####/com.SecShell.tmp3120
- /data/data/####/com.SecShell.tmp3164
- /data/data/####/com.SecShell.tmp3186
- /data/data/####/com.SecShell.tmp3208
- /data/data/####/com.SecShell.tmp3233
- /data/data/####/com.SecShell.tmp3255
- /data/data/####/com.SecShell.tmp3277
- /data/data/####/com.SecShell.tmp3320
- /data/data/####/com.SecShell.tmp3343
- /data/data/####/com.SecShell.tmp3365
- /data/data/####/com.SecShell.tmp3412
- /data/data/####/com.SecShell.tmp3436
- /data/data/####/com.SecShell.tmp3458
- /data/data/####/com.SecShell.tmp3490
- /data/data/####/com.SecShell.tmp3512
- /data/data/####/com.SecShell.tmp3534
- /data/data/####/com.SecShell.tmp3565
- /data/data/####/com.SecShell.tmp3588
- /data/data/####/com.SecShell.tmp3610
- /data/data/####/com.SecShell.tmp3641
- /data/data/####/com.SecShell.tmp3664
- /data/data/####/com.SecShell.tmp3686
- /data/data/####/com.SecShell.tmp3719
- /data/data/####/com.SecShell.tmp3741
- /data/data/####/com.SecShell.tmp3763
- /data/data/####/com.SecShell.tmp3797
- /data/data/####/com.SecShell.tmp3820
- /data/data/####/com.SecShell.tmp3842
- /data/data/####/com.SecShell.tmp3875
- /data/data/####/com.SecShell.tmp3897
- /data/data/####/com.SecShell.tmp3919
- /data/data/####/com.SecShell.tmp3952
- /data/data/####/com.SecShell.tmp3974
- /data/data/####/com.SecShell.tmp3996
- /data/data/####/com.SecShell.tmp4029
- /data/data/####/com.SecShell.tmp4051
- /data/data/####/com.SecShell.tmp4073
- /data/data/####/com.SecShell.tmp4105
- /data/data/####/com.SecShell.tmp4127
- /data/data/####/com.SecShell.tmp4149
- /data/data/####/com.SecShell.tmp4182
- /data/data/####/com.SecShell.tmp4204
- /data/data/####/com.SecShell.tmp4226
- /data/data/####/com.SecShell.tmp4257
- /data/data/####/com.SecShell.tmp4280
- /data/data/####/com.SecShell.tmp4302
- /data/data/####/com.SecShell.tmp4334
- /data/data/####/com.SecShell.tmp4356
- /data/data/####/com.SecShell.tmp4378
- /data/data/####/com.SecShell.tmp4410
- /data/data/####/com.SecShell.tmp4433
- /data/data/####/com.SecShell.tmp4455
- /data/data/####/com.SecShell.tmp4490
- /data/data/####/com.SecShell.tmp4512
- /data/data/####/com.SecShell.tmp4534
- /data/data/####/com.SecShell.tmp4566
- /data/data/####/com.SecShell.tmp4588
- /data/data/####/com.SecShell.tmp4610
- /data/data/####/com.SecShell.tmp4642
- /data/data/####/com.SecShell.tmp4665
- /data/data/####/com.SecShell.tmp4687
- /data/data/####/com.SecShell.tmp4720
- /data/data/####/com.SecShell.tmp4742
- /data/data/####/com.SecShell.tmp4764
- /data/data/####/com.SecShell.tmp4796
- /data/data/####/com.SecShell.tmp4818
- /data/data/####/com.SecShell.tmp4840
- /data/data/####/com.SecShell.tmp4871
- /data/data/####/com.SecShell.tmp4894
- /data/data/####/com.SecShell.tmp4916
- /data/data/####/com.SecShell.tmp4967
- /data/media/####/plugin.apk
- /data/media/####/z.jar
Другие:
Запускает следующие shell-скрипты:
- /system/bin/su
- app_process system/bin com.google.provider.vendor.tool.Main /storage/emulated/0/goog1e/data/plugin.apk
- ls -l /system/bin/su
- sh -c cat /sys/block/mmcblk0/device/cid
- sh -c cat /sys/class/net/wlan0/address
Загружает динамические библиотеки:
- SecShell
- cocos2djs
- libSecShell-x86
- na0857
Использует повышенные привилегии.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из SMS.
Получает информацию об отправленых/принятых SMS.
