Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.RemoteCode.242.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) 47.1####.13.108:8099
- TCP(HTTP/1.1) 1####.78.31.198:8030
- TCP(HTTP/1.1) ap.bigb####.com:6099
- TCP(HTTP/1.1) a####.on####.club:80
- TCP(HTTP/1.1) lp.lapia####.com:6099
- TCP(HTTP/1.1) 65.52.1####.249:80
- TCP d.angs####.com:9270
Запросы DNS:
- a####.on####.club
- ap.bigb####.com
- d.angs####.com
- dd.bigb####.com
- l####.bigb####.com
- lp.lapia####.com
Запросы HTTP GET:
- a####.on####.club/fileupload/4356fc9d78033b29.jar
Запросы HTTP POST:
- ap.bigb####.com:6099/aps/
- lp.lapia####.com:6099/aps/
Изменения в файловой системе:
Создает следующие файлы:
- /data/anr/traces.txt
- /data/data/####/,MoPay_SP.xml
- /data/data/####/XinZF.xml
- /data/data/####/XinZF_conf.xml
- /data/data/####/XinZFsmspay.db
- /data/data/####/XinZFsmspay.db-journal
- /data/data/####/ccom.wdsj.bauhrhfbhe_preferences.xml
- /data/data/####/dpi
- /data/data/####/hid.db
- /data/data/####/lpeg.jar
- /data/data/####/one.dex
- /data/data/####/orbgi.jar
- /data/data/####/uid.f
- /data/data/####/yunUid.f
- /data/media/####/.nid
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh
- cat /sys/class/android_usb/android0/idProduct
- cat /sys/class/android_usb/android0/idVendor
- getprop
- ls -l /dev
- ls -l /dev/block
- ls -l /dev/block/vold
- ls -l /dev/bus
- ls -l /dev/bus/usb
- ls -l /dev/bus/usb/001
- ls -l /dev/com.android.settings.daemon
- ls -l /dev/cpuctl
- ls -l /dev/cpuctl/apps
- ls -l /dev/cpuctl/apps/bg_non_interactive
- ls -l /dev/graphics
- ls -l /dev/input
- ls -l /dev/log
- ls -l /dev/pts
- ls -l /dev/snd
- ls -l /dev/socket
- ps
- sh -c cat /sys/block/mmcblk0/device/cid
- sh -c cat /sys/class/net/wlan0/address
Загружает динамические библиотеки:
- cocos2dcpp
- n7c168
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- DES-CBC-PKCS5Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Содержит функциональность для автоматической отправки SMS.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из SMS.
Получает информацию об отправленых/принятых SMS.
