Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Xiny.1513
Загружает из Интернета следующие детектируемые угрозы:
- Android.Xiny.1513
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) l####.bigb####.com:6099
- TCP(HTTP/1.1) ap.bigb####.com:6099
- TCP(HTTP/1.1) adl.a####.net:5285
- TCP d.angs####.com:9270
Запросы DNS:
- adl.a####.net
- ap.bigb####.com
- d.angs####.com
- l####.bigb####.com
Запросы HTTP GET:
- adl.a####.net:5285/dd/a/dl?appId=####
Запросы HTTP POST:
- ap.bigb####.com:6099/aps/
- l####.bigb####.com:6099/aps/
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.edata
- /data/data/####/XinZF.xml
- /data/data/####/XinZF_conf.xml
- /data/data/####/XinZF_conf.xml.bak
- /data/data/####/XinZFsmspay.db
- /data/data/####/XinZFsmspay.db-journal
- /data/data/####/_fq_1.1.0_use.jar
- /data/data/####/a4b645a09e1352ed9a43ff469655db6d_3_1_5.zip.tmp
- /data/data/####/classes.dex
- /data/data/####/classes.dve
- /data/data/####/classes.jar
- /data/data/####/com.SecShell.tmp2136
- /data/data/####/com.SecShell.tmp2228
- /data/data/####/com.SecShell.tmp2252
- /data/data/####/com.SecShell.tmp2277
- /data/data/####/com.SecShell.tmp2311
- /data/data/####/com.SecShell.tmp2338
- /data/data/####/com.SecShell.tmp2365
- /data/data/####/com.SecShell.tmp2402
- /data/data/####/com.SecShell.tmp2427
- /data/data/####/com.SecShell.tmp2452
- /data/data/####/com.SecShell.tmp2487
- /data/data/####/com.SecShell.tmp2512
- /data/data/####/com.SecShell.tmp2539
- /data/data/####/com.SecShell.tmp2575
- /data/data/####/com.SecShell.tmp2600
- /data/data/####/com.SecShell.tmp2625
- /data/data/####/com.SecShell.tmp2660
- /data/data/####/com.SecShell.tmp2688
- /data/data/####/com.SecShell.tmp2713
- /data/data/####/com.SecShell.tmp2748
- /data/data/####/com.SecShell.tmp2772
- /data/data/####/com.SecShell.tmp2797
- /data/data/####/com.SecShell.tmp2832
- /data/data/####/com.SecShell.tmp2856
- /data/data/####/com.SecShell.tmp2881
- /data/data/####/com.SecShell.tmp2916
- /data/data/####/com.SecShell.tmp2942
- /data/data/####/com.SecShell.tmp2967
- /data/data/####/com.SecShell.tmp3003
- /data/data/####/com.SecShell.tmp3028
- /data/data/####/com.SecShell.tmp3053
- /data/data/####/com.SecShell.tmp3088
- /data/data/####/com.SecShell.tmp3113
- /data/data/####/com.SecShell.tmp3140
- /data/data/####/com.SecShell.tmp3175
- /data/data/####/com.SecShell.tmp3200
- /data/data/####/com.SecShell.tmp3225
- /data/data/####/com.SecShell.tmp3261
- /data/data/####/com.SecShell.tmp3286
- /data/data/####/com.SecShell.tmp3310
- /data/data/####/com.SecShell.tmp3345
- /data/data/####/com.SecShell.tmp3369
- /data/data/####/com.SecShell.tmp3394
- /data/data/####/com.SecShell.tmp3429
- /data/data/####/com.SecShell.tmp3455
- /data/data/####/com.SecShell.tmp3480
- /data/data/####/com.SecShell.tmp3515
- /data/data/####/com.SecShell.tmp3540
- /data/data/####/com.SecShell.tmp3565
- /data/data/####/com.SecShell.tmp3600
- /data/data/####/com.SecShell.tmp3625
- /data/data/####/com.SecShell.tmp3650
- /data/data/####/com.SecShell.tmp3685
- /data/data/####/com.SecShell.tmp3711
- /data/data/####/com.SecShell.tmp3736
- /data/data/####/com.SecShell.tmp3771
- /data/data/####/com.SecShell.tmp3796
- /data/data/####/com.SecShell.tmp3821
- /data/data/####/com.SecShell.tmp3855
- /data/data/####/com.SecShell.tmp3883
- /data/data/####/com.SecShell.tmp3909
- /data/data/####/com.SecShell.tmp3944
- /data/data/####/com.SecShell.tmp3969
- /data/data/####/com.SecShell.tmp3994
- /data/data/####/com.SecShell.tmp4029
- /data/data/####/com.SecShell.tmp4053
- /data/data/####/com.SecShell.tmp4078
- /data/data/####/com.SecShell.tmp4104
- /data/data/####/com.SecShell.tmp4129
- /data/data/####/com.SecShell.tmp4154
- /data/data/####/com.SecShell.tmp4188
- /data/data/####/com.SecShell.tmp4214
- /data/data/####/com.SecShell.tmp4239
- /data/data/####/com.SecShell.tmp4274
- /data/data/####/com.SecShell.tmp4299
- /data/data/####/com.SecShell.tmp4324
- /data/data/####/com.SecShell.tmp4360
- /data/data/####/com.SecShell.tmp4385
- /data/data/####/com.SecShell.tmp4410
- /data/data/####/com.SecShell.tmp4445
- /data/data/####/com.SecShell.tmp4470
- /data/data/####/com.SecShell.tmp4497
- /data/data/####/com.SecShell.tmp4531
- /data/data/####/com.SecShell.tmp4556
- /data/data/####/com.SecShell.tmp4581
- /data/data/####/com.SecShell.tmp4633
- /data/data/####/dmmoodd.xml
- /data/data/####/orbgi.jar
- /data/data/####/sfp
- /data/data/####/uid.f
- /data/data/####/yapfq.db
- /data/data/####/yapfq.db-journal
- /data/media/####/plugin.apk
- /data/media/####/z.jar
Другие:
Запускает следующие shell-скрипты:
- /system/bin/su
- app_process system/bin com.google.provider.vendor.tool.Main /storage/emulated/0/goog1e/data/plugin.apk
- ls -l /system/bin/su
- sh -c cat /sys/block/mmcblk0/device/cid
- sh -c cat /sys/class/net/wlan0/address
Загружает динамические библиотеки:
- SecShell
- cocos2djs
- libSecShell-x86
- na0857
Использует повышенные привилегии.
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из SMS.
Получает информацию об отправленых/принятых SMS.
