Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Xiny.1513
Загружает из Интернета следующие детектируемые угрозы:
- Android.Xiny.1513
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) adl.a####.net:5285
- TCP(HTTP/1.1) hd.a####.com:80
- TCP(HTTP/1.1) l####.bigb####.com:6099
- TCP(HTTP/1.1) ap.bigb####.com:6099
- TCP(HTTP/1.1) 1####.74.142.118:8152
- TCP d.angs####.com:9270
Запросы DNS:
- adl.a####.net
- ap.bigb####.com
- d.angs####.com
- ji####.dl####.com
- l####.bigb####.com
Запросы HTTP GET:
- adl.a####.net:5285/dd/a/dl?appId=####
- hd.a####.com/jieplginf/djmdeta29x
Запросы HTTP POST:
- ap.bigb####.com:6099/aps/
- l####.bigb####.com:6099/aps/
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.edata
- /data/data/####/JiePay.xml
- /data/data/####/XinZF.xml
- /data/data/####/XinZF_conf.xml
- /data/data/####/XinZFsmspay.db
- /data/data/####/XinZFsmspay.db-journal
- /data/data/####/_fq_1.1.0_use.jar
- /data/data/####/a4b645a09e1352ed9a43ff469655db6d_3_1_5.zip.tmp
- /data/data/####/classes.dex
- /data/data/####/classes.dve
- /data/data/####/classes.jar
- /data/data/####/com.SecShell.tmp2135
- /data/data/####/com.SecShell.tmp2232
- /data/data/####/com.SecShell.tmp2263
- /data/data/####/com.SecShell.tmp2293
- /data/data/####/com.SecShell.tmp2334
- /data/data/####/com.SecShell.tmp2365
- /data/data/####/com.SecShell.tmp2395
- /data/data/####/com.SecShell.tmp2437
- /data/data/####/com.SecShell.tmp2468
- /data/data/####/com.SecShell.tmp2498
- /data/data/####/com.SecShell.tmp2542
- /data/data/####/com.SecShell.tmp2573
- /data/data/####/com.SecShell.tmp2603
- /data/data/####/com.SecShell.tmp2645
- /data/data/####/com.SecShell.tmp2675
- /data/data/####/com.SecShell.tmp2705
- /data/data/####/com.SecShell.tmp2746
- /data/data/####/com.SecShell.tmp2776
- /data/data/####/com.SecShell.tmp2806
- /data/data/####/com.SecShell.tmp2847
- /data/data/####/com.SecShell.tmp2877
- /data/data/####/com.SecShell.tmp2907
- /data/data/####/com.SecShell.tmp2947
- /data/data/####/com.SecShell.tmp2977
- /data/data/####/com.SecShell.tmp3007
- /data/data/####/com.SecShell.tmp3047
- /data/data/####/com.SecShell.tmp3077
- /data/data/####/com.SecShell.tmp3108
- /data/data/####/com.SecShell.tmp3149
- /data/data/####/com.SecShell.tmp3179
- /data/data/####/com.SecShell.tmp3209
- /data/data/####/com.SecShell.tmp3249
- /data/data/####/com.SecShell.tmp3279
- /data/data/####/com.SecShell.tmp3309
- /data/data/####/com.SecShell.tmp3350
- /data/data/####/com.SecShell.tmp3380
- /data/data/####/com.SecShell.tmp3410
- /data/data/####/com.SecShell.tmp3451
- /data/data/####/com.SecShell.tmp3482
- /data/data/####/com.SecShell.tmp3512
- /data/data/####/com.SecShell.tmp3553
- /data/data/####/com.SecShell.tmp3583
- /data/data/####/com.SecShell.tmp3613
- /data/data/####/com.SecShell.tmp3653
- /data/data/####/com.SecShell.tmp3683
- /data/data/####/com.SecShell.tmp3713
- /data/data/####/com.SecShell.tmp3753
- /data/data/####/com.SecShell.tmp3783
- /data/data/####/com.SecShell.tmp3813
- /data/data/####/com.SecShell.tmp3844
- /data/data/####/com.SecShell.tmp3874
- /data/data/####/com.SecShell.tmp3904
- /data/data/####/com.SecShell.tmp3944
- /data/data/####/com.SecShell.tmp3974
- /data/data/####/com.SecShell.tmp4004
- /data/data/####/com.SecShell.tmp4046
- /data/data/####/com.SecShell.tmp4076
- /data/data/####/com.SecShell.tmp4106
- /data/data/####/com.SecShell.tmp4146
- /data/data/####/com.SecShell.tmp4176
- /data/data/####/com.SecShell.tmp4206
- /data/data/####/com.SecShell.tmp4246
- /data/data/####/com.SecShell.tmp4276
- /data/data/####/com.SecShell.tmp4306
- /data/data/####/com.SecShell.tmp4346
- /data/data/####/com.SecShell.tmp4376
- /data/data/####/com.SecShell.tmp4406
- /data/data/####/com.SecShell.tmp4446
- /data/data/####/com.SecShell.tmp4476
- /data/data/####/com.SecShell.tmp4506
- /data/data/####/com.SecShell.tmp4547
- /data/data/####/com.SecShell.tmp4577
- /data/data/####/com.SecShell.tmp4607
- /data/data/####/com.SecShell.tmp4648
- /data/data/####/com.SecShell.tmp4679
- /data/data/####/com.SecShell.tmp4709
- /data/data/####/com.SecShell.tmp4749
- /data/data/####/com.SecShell.tmp4779
- /data/data/####/com.SecShell.tmp4809
- /data/data/####/com.SecShell.tmp4867
- /data/data/####/dmmoodd.xml
- /data/data/####/jiepay_config.xml
- /data/data/####/jiepayplugin.apk
- /data/data/####/jiepayplugin.apkdata
- /data/data/####/jiepaysmspay.db
- /data/data/####/jiepaysmspay.db-journal
- /data/data/####/orbgi.jar
- /data/data/####/sfp
- /data/data/####/uid.f
- /data/data/####/yapfq.db
- /data/data/####/yapfq.db-journal
Другие:
Запускает следующие shell-скрипты:
- sh -c cat /sys/block/mmcblk0/device/cid
- sh -c cat /sys/class/net/wlan0/address
Загружает динамические библиотеки:
- SecShell
- cocos2djs
- libSecShell-x86
- na0857
Использует следующие алгоритмы для шифрования данных:
- DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- DES-CBC-PKCS5Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из SMS.
Получает информацию об отправленых/принятых SMS.
