Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Xiny.1513
Загружает из Интернета следующие детектируемые угрозы:
- Android.Xiny.1513
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) ji####.jieme####.com:8152
- TCP(HTTP/1.1) 1####.23.236.250:6099
- TCP(HTTP/1.1) adl.a####.net:5285
- TCP(HTTP/1.1) hd.a####.com:80
- TCP(HTTP/1.1) 1####.77.148.19:6099
- TCP(TLS/1.0) ssl.gst####.com:443
- TCP(TLS/1.0) adser####.go####.nl:443
- TCP(TLS/1.0) www.go####.com:443
- TCP(TLS/1.0) www.gst####.com:443
- TCP(TLS/1.0) adser####.go####.com:443
- TCP(TLS/1.0) www.go####.nl:443
- TCP(TLS/1.0) googl####.g.doublec####.net:443
- TCP d.angs####.com:9270
Запросы DNS:
- adl.a####.net
- adser####.go####.com
- adser####.go####.nl
- d.angs####.com
- googl####.g.doublec####.net
- ji####.dl####.com
- ji####.jieme####.com
- ssl.gst####.com
- www.go####.com
- www.go####.nl
- www.gst####.com
Запросы HTTP GET:
- adl.a####.net:5285/dd/a/dl?appId=####
- hd.a####.com/jieplginf/djmdeta29x
Запросы HTTP POST:
- ji####.jieme####.com:8152/ryf_webserver/payment/checkupdate.html
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.edata
- /data/data/####/JiePay.xml
- /data/data/####/XinZF.xml
- /data/data/####/XinZF_conf.xml
- /data/data/####/XinZFsmspay.db
- /data/data/####/XinZFsmspay.db-journal
- /data/data/####/a4b645a09e1352ed9a43ff469655db6d_3_1_5.zip.tmp
- /data/data/####/classes.dex
- /data/data/####/classes.dve
- /data/data/####/classes.jar
- /data/data/####/com.SecShell.tmp2117
- /data/data/####/com.SecShell.tmp2232
- /data/data/####/com.SecShell.tmp2262
- /data/data/####/com.SecShell.tmp2292
- /data/data/####/com.SecShell.tmp2332
- /data/data/####/com.SecShell.tmp2362
- /data/data/####/com.SecShell.tmp2392
- /data/data/####/com.SecShell.tmp2437
- /data/data/####/com.SecShell.tmp2467
- /data/data/####/com.SecShell.tmp2497
- /data/data/####/com.SecShell.tmp2537
- /data/data/####/com.SecShell.tmp2567
- /data/data/####/com.SecShell.tmp2597
- /data/data/####/com.SecShell.tmp2638
- /data/data/####/com.SecShell.tmp2668
- /data/data/####/com.SecShell.tmp2698
- /data/data/####/com.SecShell.tmp2728
- /data/data/####/com.SecShell.tmp2758
- /data/data/####/com.SecShell.tmp2788
- /data/data/####/com.SecShell.tmp2831
- /data/data/####/com.SecShell.tmp2861
- /data/data/####/com.SecShell.tmp2891
- /data/data/####/com.SecShell.tmp2933
- /data/data/####/com.SecShell.tmp2963
- /data/data/####/com.SecShell.tmp2993
- /data/data/####/com.SecShell.tmp3035
- /data/data/####/com.SecShell.tmp3065
- /data/data/####/com.SecShell.tmp3096
- /data/data/####/com.SecShell.tmp3136
- /data/data/####/com.SecShell.tmp3166
- /data/data/####/com.SecShell.tmp3196
- /data/data/####/com.SecShell.tmp3236
- /data/data/####/com.SecShell.tmp3266
- /data/data/####/com.SecShell.tmp3296
- /data/data/####/com.SecShell.tmp3338
- /data/data/####/com.SecShell.tmp3368
- /data/data/####/com.SecShell.tmp3398
- /data/data/####/com.SecShell.tmp3438
- /data/data/####/com.SecShell.tmp3468
- /data/data/####/com.SecShell.tmp3498
- /data/data/####/com.SecShell.tmp3540
- /data/data/####/com.SecShell.tmp3570
- /data/data/####/com.SecShell.tmp3600
- /data/data/####/com.SecShell.tmp3640
- /data/data/####/com.SecShell.tmp3670
- /data/data/####/com.SecShell.tmp3700
- /data/data/####/com.SecShell.tmp3741
- /data/data/####/com.SecShell.tmp3771
- /data/data/####/com.SecShell.tmp3801
- /data/data/####/com.SecShell.tmp3843
- /data/data/####/com.SecShell.tmp3873
- /data/data/####/com.SecShell.tmp3903
- /data/data/####/com.SecShell.tmp3943
- /data/data/####/com.SecShell.tmp3973
- /data/data/####/com.SecShell.tmp4003
- /data/data/####/com.SecShell.tmp4044
- /data/data/####/com.SecShell.tmp4075
- /data/data/####/com.SecShell.tmp4150
- /data/data/####/com.SecShell.tmp4208
- /data/data/####/com.SecShell.tmp4240
- /data/data/####/com.SecShell.tmp4271
- /data/data/####/com.SecShell.tmp4311
- /data/data/####/com.SecShell.tmp4341
- /data/data/####/com.SecShell.tmp4371
- /data/data/####/com.SecShell.tmp4411
- /data/data/####/com.SecShell.tmp4441
- /data/data/####/com.SecShell.tmp4471
- /data/data/####/com.SecShell.tmp4517
- /data/data/####/com.SecShell.tmp4547
- /data/data/####/com.SecShell.tmp4577
- /data/data/####/com.SecShell.tmp4617
- /data/data/####/com.SecShell.tmp4647
- /data/data/####/com.SecShell.tmp4677
- /data/data/####/com.SecShell.tmp4725
- /data/data/####/com.SecShell.tmp4755
- /data/data/####/com.SecShell.tmp4785
- /data/data/####/com.SecShell.tmp4848
- /data/data/####/jiepay_config.xml
- /data/data/####/jiepayplugin.apk
- /data/data/####/jiepaysmspay.db
- /data/data/####/jiepaysmspay.db-journal
- /data/data/####/orbgi.jar
- /data/data/####/uid.f
- /data/media/####/.nomedia
- /data/media/####/plugin.apk
- /data/media/####/z.jar
Другие:
Запускает следующие shell-скрипты:
- /system/bin/su
- app_process system/bin com.google.provider.vendor.tool.Main /storage/emulated/0/goog1e/data/plugin.apk
- ls -l /system/bin/su
- sh -c cat /sys/block/mmcblk0/device/cid
- sh -c cat /sys/class/net/wlan0/address
Загружает динамические библиотеки:
- SecShell
- cocos2djs
- libSecShell-x86
- na0857
Использует следующие алгоритмы для шифрования данных:
- DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- DES-CBC-PKCS5Padding
Использует повышенные привилегии.
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из SMS.
Получает информацию об отправленых/принятых SMS.
