Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Xiny.1513
Загружает из Интернета следующие детектируемые угрозы:
- Android.Xiny.1513
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) l####.bigb####.com:6099
- TCP(HTTP/1.1) ap.bigb####.com:6099
- TCP(HTTP/1.1) adl.a####.net:5285
- TCP d.angs####.com:9270
Запросы DNS:
- adl.a####.net
- ap.bigb####.com
- d.angs####.com
- l####.bigb####.com
Запросы HTTP GET:
- adl.a####.net:5285/dd/a/dl?appId=####
Запросы HTTP POST:
- ap.bigb####.com:6099/aps/
- l####.bigb####.com:6099/aps/
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.edata
- /data/data/####/XinZF.xml
- /data/data/####/XinZF_conf.xml
- /data/data/####/XinZFsmspay.db
- /data/data/####/XinZFsmspay.db-journal
- /data/data/####/a4b645a09e1352ed9a43ff469655db6d_3_1_5.zip.tmp
- /data/data/####/classes.dex
- /data/data/####/classes.dve
- /data/data/####/classes.jar
- /data/data/####/com.SecShell.tmp2145
- /data/data/####/com.SecShell.tmp2232
- /data/data/####/com.SecShell.tmp2255
- /data/data/####/com.SecShell.tmp2278
- /data/data/####/com.SecShell.tmp2301
- /data/data/####/com.SecShell.tmp2324
- /data/data/####/com.SecShell.tmp2357
- /data/data/####/com.SecShell.tmp2381
- /data/data/####/com.SecShell.tmp2404
- /data/data/####/com.SecShell.tmp2437
- /data/data/####/com.SecShell.tmp2485
- /data/data/####/com.SecShell.tmp2509
- /data/data/####/com.SecShell.tmp2532
- /data/data/####/com.SecShell.tmp2565
- /data/data/####/com.SecShell.tmp2588
- /data/data/####/com.SecShell.tmp2611
- /data/data/####/com.SecShell.tmp2644
- /data/data/####/com.SecShell.tmp2667
- /data/data/####/com.SecShell.tmp2690
- /data/data/####/com.SecShell.tmp2724
- /data/data/####/com.SecShell.tmp2749
- /data/data/####/com.SecShell.tmp2772
- /data/data/####/com.SecShell.tmp2805
- /data/data/####/com.SecShell.tmp2828
- /data/data/####/com.SecShell.tmp2851
- /data/data/####/com.SecShell.tmp2884
- /data/data/####/com.SecShell.tmp2907
- /data/data/####/com.SecShell.tmp2930
- /data/data/####/com.SecShell.tmp2970
- /data/data/####/com.SecShell.tmp2993
- /data/data/####/com.SecShell.tmp3016 (deleted)
- /data/data/####/com.SecShell.tmp3049
- /data/data/####/com.SecShell.tmp3072
- /data/data/####/com.SecShell.tmp3095
- /data/data/####/com.SecShell.tmp3131
- /data/data/####/com.SecShell.tmp3154
- /data/data/####/com.SecShell.tmp3177
- /data/data/####/com.SecShell.tmp3211
- /data/data/####/com.SecShell.tmp3234
- /data/data/####/com.SecShell.tmp3257
- /data/data/####/com.SecShell.tmp3290
- /data/data/####/com.SecShell.tmp3313
- /data/data/####/com.SecShell.tmp3336
- /data/data/####/com.SecShell.tmp3373
- /data/data/####/com.SecShell.tmp3396
- /data/data/####/com.SecShell.tmp3419
- /data/data/####/com.SecShell.tmp3454
- /data/data/####/com.SecShell.tmp3480
- /data/data/####/com.SecShell.tmp3503
- /data/data/####/com.SecShell.tmp3538
- /data/data/####/com.SecShell.tmp3561
- /data/data/####/com.SecShell.tmp3584
- /data/data/####/com.SecShell.tmp3618
- /data/data/####/com.SecShell.tmp3641
- /data/data/####/com.SecShell.tmp3664
- /data/data/####/com.SecShell.tmp3701
- /data/data/####/com.SecShell.tmp3724
- /data/data/####/com.SecShell.tmp3747
- /data/data/####/com.SecShell.tmp3771
- /data/data/####/com.SecShell.tmp3794
- /data/data/####/com.SecShell.tmp3817
- /data/data/####/com.SecShell.tmp3850
- /data/data/####/com.SecShell.tmp3873
- /data/data/####/com.SecShell.tmp3896
- /data/data/####/com.SecShell.tmp3929
- /data/data/####/com.SecShell.tmp3952
- /data/data/####/com.SecShell.tmp3975
- /data/data/####/com.SecShell.tmp3999
- /data/data/####/com.SecShell.tmp4022
- /data/data/####/com.SecShell.tmp4045
- /data/data/####/com.SecShell.tmp4078
- /data/data/####/com.SecShell.tmp4101
- /data/data/####/com.SecShell.tmp4124
- /data/data/####/com.SecShell.tmp4164
- /data/data/####/com.SecShell.tmp4187
- /data/data/####/com.SecShell.tmp4210
- /data/data/####/com.SecShell.tmp4247
- /data/data/####/com.SecShell.tmp4270
- /data/data/####/com.SecShell.tmp4293
- /data/data/####/com.SecShell.tmp4343
- /data/data/####/orbgi.jar
- /data/data/####/uid.f
- /data/media/####/plugin.apk
- /data/media/####/z.jar
Другие:
Запускает следующие shell-скрипты:
- /system/bin/su
- app_process system/bin com.google.provider.vendor.tool.Main /storage/emulated/0/goog1e/data/plugin.apk
- ls -l /system/bin/su
- sh -c cat /sys/block/mmcblk0/device/cid
- sh -c cat /sys/class/net/wlan0/address
Загружает динамические библиотеки:
- SecShell
- cocos2djs
- libSecShell-x86
- na0857
Использует повышенные привилегии.
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из SMS.
Получает информацию об отправленых/принятых SMS.
