Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Xiny.1513
Загружает из Интернета следующие детектируемые угрозы:
- Android.Xiny.1513
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) adl.a####.net:5285
- TCP d.angs####.com:9270
Запросы DNS:
- adl.a####.net
- d.angs####.com
Запросы HTTP GET:
- adl.a####.net:5285/dd/a/dl?appId=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.edata
- /data/data/####/XinZF.xml
- /data/data/####/XinZF_conf.xml
- /data/data/####/XinZFsmspay.db
- /data/data/####/XinZFsmspay.db-journal
- /data/data/####/a4b645a09e1352ed9a43ff469655db6d_3_1_5.zip.tmp
- /data/data/####/classes.dex
- /data/data/####/classes.dve
- /data/data/####/classes.jar
- /data/data/####/com.SecShell.tmp2144
- /data/data/####/com.SecShell.tmp2230
- /data/data/####/com.SecShell.tmp2255
- /data/data/####/com.SecShell.tmp2288
- /data/data/####/com.SecShell.tmp2323
- /data/data/####/com.SecShell.tmp2345
- /data/data/####/com.SecShell.tmp2368
- /data/data/####/com.SecShell.tmp2400
- /data/data/####/com.SecShell.tmp2425
- /data/data/####/com.SecShell.tmp2449
- /data/data/####/com.SecShell.tmp2482
- /data/data/####/com.SecShell.tmp2504
- /data/data/####/com.SecShell.tmp2526
- /data/data/####/com.SecShell.tmp2548
- /data/data/####/com.SecShell.tmp2582
- /data/data/####/com.SecShell.tmp2604
- /data/data/####/com.SecShell.tmp2636
- /data/data/####/com.SecShell.tmp2659
- /data/data/####/com.SecShell.tmp2681
- /data/data/####/com.SecShell.tmp2713
- /data/data/####/com.SecShell.tmp2735
- /data/data/####/com.SecShell.tmp2757
- /data/data/####/com.SecShell.tmp2788
- /data/data/####/com.SecShell.tmp2811
- /data/data/####/com.SecShell.tmp2833
- /data/data/####/com.SecShell.tmp2865
- /data/data/####/com.SecShell.tmp2887
- /data/data/####/com.SecShell.tmp2909
- /data/data/####/com.SecShell.tmp2941
- /data/data/####/com.SecShell.tmp2963
- /data/data/####/com.SecShell.tmp2985
- /data/data/####/com.SecShell.tmp3019
- /data/data/####/com.SecShell.tmp3041
- /data/data/####/com.SecShell.tmp3063
- /data/data/####/com.SecShell.tmp3095
- /data/data/####/com.SecShell.tmp3117
- /data/data/####/com.SecShell.tmp3139
- /data/data/####/com.SecShell.tmp3170
- /data/data/####/com.SecShell.tmp3193
- /data/data/####/com.SecShell.tmp3215
- /data/data/####/com.SecShell.tmp3247
- /data/data/####/com.SecShell.tmp3269
- /data/data/####/com.SecShell.tmp3291
- /data/data/####/com.SecShell.tmp3323
- /data/data/####/com.SecShell.tmp3345
- /data/data/####/com.SecShell.tmp3367
- /data/data/####/com.SecShell.tmp3398
- /data/data/####/com.SecShell.tmp3421
- /data/data/####/com.SecShell.tmp3443
- /data/data/####/com.SecShell.tmp3476
- /data/data/####/com.SecShell.tmp3498
- /data/data/####/com.SecShell.tmp3520
- /data/data/####/com.SecShell.tmp3553
- /data/data/####/com.SecShell.tmp3575
- /data/data/####/com.SecShell.tmp3597
- /data/data/####/com.SecShell.tmp3629
- /data/data/####/com.SecShell.tmp3651
- /data/data/####/com.SecShell.tmp3673
- /data/data/####/com.SecShell.tmp3707
- /data/data/####/com.SecShell.tmp3729
- /data/data/####/com.SecShell.tmp3751
- /data/data/####/com.SecShell.tmp3785
- /data/data/####/com.SecShell.tmp3807
- /data/data/####/com.SecShell.tmp3829
- /data/data/####/com.SecShell.tmp3861
- /data/data/####/com.SecShell.tmp3883
- /data/data/####/com.SecShell.tmp3905
- /data/data/####/com.SecShell.tmp3938
- /data/data/####/com.SecShell.tmp3960
- /data/data/####/com.SecShell.tmp3982
- /data/data/####/com.SecShell.tmp4004
- /data/data/####/com.SecShell.tmp4026
- /data/data/####/com.SecShell.tmp4048
- /data/data/####/com.SecShell.tmp4081
- /data/data/####/com.SecShell.tmp4103
- /data/data/####/com.SecShell.tmp4125
- /data/data/####/com.SecShell.tmp4174
- /data/media/####/plugin.apk
- /data/media/####/z.jar
Другие:
Запускает следующие shell-скрипты:
- /system/bin/su
- app_process system/bin com.google.provider.vendor.tool.Main /storage/emulated/0/goog1e/data/plugin.apk
- ls -l /system/bin/su
- sh -c cat /sys/block/mmcblk0/device/cid
- sh -c cat /sys/class/net/wlan0/address
Загружает динамические библиотеки:
- SecShell
- cocos2djs
- libSecShell-x86
- na0857
Использует повышенные привилегии.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из SMS.
Получает информацию об отправленых/принятых SMS.
