Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.RemoteCode.242.origin
- Android.SmsSend.2064.origin
- Android.Triada.248.origin
- Android.Triada.373.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) bl.i.numbero####.cn:80
- TCP(HTTP/1.1) 1####.159.180.48:8090
- TCP(HTTP/1.1) 1####.78.31.198:8030
- TCP(HTTP/1.1) adl.a####.net:5285
- TCP(HTTP/1.1) bl.f.numbero####.cn:80
- TCP(HTTP/1.1) hd.a####.com:80
- TCP(HTTP/1.1) www.3####.com:8081
- TCP(HTTP/1.1) bl.r.numbero####.cn:80
- TCP(HTTP/1.1) l####.bigb####.com:6099
- TCP(HTTP/1.1) ji####.jieme####.com:8152
- TCP(HTTP/1.1) ot.grb.qin####.com:80
- TCP(HTTP/1.1) 1####.100.207.231:80
- TCP(HTTP/1.1) ot.prs.qin####.com:80
- TCP(HTTP/1.1) 1####.159.152.136:8090
- TCP(HTTP/1.1) fy.bigb####.com:6099
- TCP(HTTP/1.1) a####.on####.club:80
- TCP(HTTP/1.1) 1####.159.103.205:8090
- TCP(TLS/1.0) dualsta####.wagbr####.ali####.####.com:443
- TCP d.angs####.com:9270
Запросы DNS:
- a####.on####.club
- adl.a####.net
- api.qiazhiw####.cn
- bl.c.numbero####.cn
- bl.f.numbero####.cn
- bl.i.numbero####.cn
- bl.r.numbero####.cn
- d.angs####.com
- fy.bigb####.com
- g####.mc####.com
- ifse####.mc####.com
- ji####.dl####.com
- ji####.jieme####.com
- l####.bigb####.com
- l.ace####.com
- mt####.go####.com
- ot.cor.qin####.com
- ot.grb.qin####.com
- ot.m.qin####.com
- ot.prs.qin####.com
- plb####.u####.com
- u####.u####.com
- w####.cns####.com
- www.3####.com
Запросы HTTP GET:
- a####.on####.club/fileupload/4356fc9d78033b29.jar
- adl.a####.net:5285/dd/a/dl?appId=####
- hd.a####.com/jieplginf/djmdeta29x
Запросы HTTP POST:
- bl.f.numbero####.cn/J7Izocp1/FMc7
- bl.i.numbero####.cn/q3265Xdk/E60g
- bl.r.numbero####.cn/J7Izocp1/FMc7
- bl.r.numbero####.cn/SlAybZh1/rXfV
- bl.r.numbero####.cn/m3fb2crQ/MSfQ
- bl.r.numbero####.cn/m3fb2crQ/a4Xd
- bl.r.numbero####.cn/q3265Xdk/E60g
- fy.bigb####.com:6099/aps/
- ji####.jieme####.com:8152/ryf_webserver/payment/checkupdate.html
- l####.bigb####.com:6099/aps/
- ot.grb.qin####.com/JBVZVr/niyaei
- ot.grb.qin####.com/ei6VRb/nvpXut
- ot.grb.qin####.com/zIFvYr/o4UbgN
- ot.prs.qin####.com/7ziimi/vuL5LR
- ot.prs.qin####.com/JBVZVr/niyaei
- ot.prs.qin####.com/ei6VRb/nvpXut
- www.3####.com:8081/e/mmc
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.edata
- /data/data/####/.imprint
- /data/data/####/1577204625732
- /data/data/####/1577204641417
- /data/data/####/1577204653618
- /data/data/####/1577204668223
- /data/data/####/1577204680868
- /data/data/####/2Yj--yOQzsRrhO-9.new
- /data/data/####/2ymlnYR6CknltsrobA12KA_F3gA=
- /data/data/####/4keVOglxa6LEq-VgvqkJeiK0Z2yBZRlDpY462w==.new
- /data/data/####/9eEFfWQ5n1hTFSULNzbb1R1zzLV_N3y2.new
- /data/data/####/AjRRi89v3f9ZwkGdgvlqFA==.new
- /data/data/####/Gx2nYFuYL0jzjByymow9MBBFX3w=.new
- /data/data/####/IoWcvU6p4Mm5rlJPhbnsXDWX7NQreMjV.new
- /data/data/####/JiePay.xml
- /data/data/####/MTIoL70ZzfRI3MLjXm3NOQ==.new
- /data/data/####/N781tr4uZBMXT7pyjTVurWQNhy1HYOwD_4HBe70qFMLJvUN...2nV-U=
- /data/data/####/N781tr4uZBMXT7pyjTVurWQNhy1HYOwD_4HBe70qFMLJvUN...ournal
- /data/data/####/N781tr4uZBMXT7pyjTVurWQNhy1HYOwD_6I822NQ4KyhiQg-pHspPOA==
- /data/data/####/N781tr4uZBMXT7pyjTVurWQNhy1HYOwD_6I822NQ4KyhiQg...ournal
- /data/data/####/N781tr4uZBMXT7pyjTVurWQNhy1HYOwD_gaFwVK2TT8i-PTsW-journal
- /data/data/####/N781tr4uZBMXT7pyjTVurWQNhy1HYOwD_qxb01O_fAH48j9Pn
- /data/data/####/N781tr4uZBMXT7pyjTVurWQNhy1HYOwD_qxb01O_fAH48j9Pn-journal
- /data/data/####/N781tr4uZBMXT7pyjTVurWQNhy1HYOwD_r8y1ExbUfZkCbi-D-journal
- /data/data/####/N781tr4uZBMXT7pyjTVurWQNhy1HYOwD_wwkfNxz6Bn867j...ournal
- /data/data/####/N781tr4uZBMXT7pyjTVurWQNhy1HYOwD_wwkfNxz6Bn867jiLo1dMJQ==
- /data/data/####/NorPay_SP.xml
- /data/data/####/NwDBrl1xeAM_5VC4.zip
- /data/data/####/Pp8M7os6NY1AZL1CfJ-duUno6HnBvzNe.new
- /data/data/####/QmLZ2fX3ykUIcTHaqmhd6j1a7quRhFW9.new
- /data/data/####/ULJF4Zxd4ENgU6xbZzR3HC6JjbeI4Xjx5CSajiGNcUs=.new
- /data/data/####/UM_PROBE_DATA.xml
- /data/data/####/UPSTY275PEIyLnEt
- /data/data/####/WSiqGUwXdHghM0RsFs3zI5B5RrxPX3GOy2SmoXiEXgI=.new
- /data/data/####/XT-MkzFmRJCyjQ5A_w4aFtMquTW59mOX6xyoOA==.new
- /data/data/####/XinZF.xml
- /data/data/####/XinZF_conf.xml
- /data/data/####/XinZFsmspay.db
- /data/data/####/XinZFsmspay.db-journal
- /data/data/####/XnZlhS4YFnGwlDfde1lekXBCtQOZPW3y.new
- /data/data/####/XyTpdxYvMOc-hpPwSS7BLA==
- /data/data/####/YtCGBgPvaXOIbUUfL2kbpQ==
- /data/data/####/ZNexFccout8ckQrs0Bdtk-AEbElmut0W7xf8smK1x1U=.new
- /data/data/####/_nkcgeULnqWdYZ8oJ_pHQ-nZeiU=.new
- /data/data/####/a4b645a09e1352ed9a43ff469655db6d_3_1_5.zip.tmp
- /data/data/####/a==8.0.2&&4.4.2-1456859_1577204626137_envelope.log
- /data/data/####/a==8.0.2&&4.4.2-1456859_1577204641490_envelope.log
- /data/data/####/a==8.0.2&&4.4.2-1456859_1577204668435_envelope.log
- /data/data/####/app_test.apk
- /data/data/####/app_test.dex (deleted)
- /data/data/####/cCache.xml
- /data/data/####/cds.xml
- /data/data/####/classes.dex
- /data/data/####/classes.dve
- /data/data/####/classes.jar
- /data/data/####/com.SecShell.tmp2138
- /data/data/####/com.SecShell.tmp2265
- /data/data/####/com.SecShell.tmp2488
- /data/data/####/com.SecShell.tmp2677
- /data/data/####/com.SecShell.tmp2860
- /data/data/####/com.SecShell.tmp3059
- /data/data/####/com.SecShell.tmp3309
- /data/data/####/d1lCb18CnC_HBQ6_xeiuvQ==.new
- /data/data/####/dW1weF9pbnRlcm5hbF8xNTc3MjA0NjI1MzQ5;
- /data/data/####/dW1weF9pbnRlcm5hbF8xNTc3MjA0NjM5Mjcy;
- /data/data/####/dW1weF9pbnRlcm5hbF8xNTc3MjA0NjUzNTk1;
- /data/data/####/dW1weF9pbnRlcm5hbF8xNTc3MjA0NjY1OTUz;
- /data/data/####/dW1weF9pbnRlcm5hbF8xNTc3MjA0NjgwNzMz;
- /data/data/####/dW1weF9pbnRlcm5hbF8xNTc3MjA0NjkzOTUx;
- /data/data/####/dmZVnU3tDqiCffbzesiMRxsrX2c=.new
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/fmoonStore.db
- /data/data/####/fmoonStore.db-journal
- /data/data/####/hC-C5A9SL7J3_wRt6APVUKwBvR_w6a6tdm0uqw==.new
- /data/data/####/hOyQ6M7Aicgct4r49_onUo_hIjE=.new
- /data/data/####/i==1.2.0&&4.4.2-1456859_1577204625735_envelope.log
- /data/data/####/i==1.2.0&&4.4.2-1456859_1577204639321_envelope.log
- /data/data/####/i==1.2.0&&4.4.2-1456859_1577204653612_envelope.log
- /data/data/####/i==1.2.0&&4.4.2-1456859_1577204680780_envelope.log
- /data/data/####/i==1.2.0&&4.4.2-1456859_1577204693983_envelope.log
- /data/data/####/info.xml
- /data/data/####/jiepay_config.xml
- /data/data/####/jiepayplugin.apk
- /data/data/####/jiepayplugin.apkdata
- /data/data/####/jiepaysmspay.db
- /data/data/####/jiepaysmspay.db-journal
- /data/data/####/mCB_Sx6KzSkHx2YDAEXQI8RRTCcP9OIz.new
- /data/data/####/mDxGPaFSUFTb98jh
- /data/data/####/mXK2ciPpBCfD3Z_K8AKIHlRy4bg=.new
- /data/data/####/nCh2DtZrJEKhtsoQUfWGRJniYxo=.new
- /data/data/####/one.dex
- /data/data/####/onePayV3.xml
- /data/data/####/opKCdFS8xo2CKpTfooSkIgBD2E1US7_NhnCXVFu5NvQ=.new
- /data/data/####/order_sp.xml
- /data/data/####/qs.db-journal
- /data/data/####/qs_LcCache.xml
- /data/data/####/rdata_comtmiowuhf.new
- /data/data/####/runner_info.prop.new
- /data/data/####/sbzauq_f.zip
- /data/data/####/sgyFMH3oSrlBpHeKTjUNwTgZ-tK3fmfp.new
- /data/data/####/t==8.0.2&&4.4.2-1456859_1577204626017_envelope.log
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/ugmarssp.xml
- /data/data/####/uid.f
- /data/data/####/um_pri.xml
- /data/data/####/umdat.xml
- /data/data/####/umeng_common_config.xml
- /data/data/####/umeng_common_location.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/wHPBqZA6iV8diLFdGRQ7xlDaqrSylVQI.new
- /data/data/####/wxWFkr8jwiDakZgkHOx6Ry4ax1o=.new
- /data/data/####/yUrBuDkJB1yh4ABh9jxpbf4JFF4=.new
- /data/data/####/ydutl.cf
- /data/data/####/zdbdd.jar
- /data/media/####/.a.dat
- /data/media/####/.adfwe.dat
- /data/media/####/.cca.dat
- /data/media/####/.umm.dat
- /data/media/####/.uunique.new
- /data/media/####/5NCMj4FHDAiNMsrjQKob6JdxZXM=.new
- /data/media/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M
- /data/media/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M.lk
- /data/media/####/MP8MtaBuguN9jnuSwtN1kQ==
- /data/media/####/r_pkDgN4OhnkSa0D
- /data/media/####/sysid.dat
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
- <Package Folder>/code-9275619/UPSTY275PEIyLnEt -p <Package> -c com.tmio.wuhf.toffee.PeanutReceiver -r /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M -d /storage/emulated/0/Download/ladung
- getprop ro.build.version.emui
- getprop ro.build.version.opporom
- getprop ro.miui.ui.version.name
- getprop ro.vivo.os.version
- getprop ro.yunos.version
- ls /
- ls /sys/class/thermal
- sh -c cat /sys/block/mmcblk0/device/cid
- sh -c cat /sys/class/net/wlan0/address
- sh <Package Folder>/code-9275619/UPSTY275PEIyLnEt -p <Package> -c com.tmio.wuhf.toffee.PeanutReceiver -r /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M -d /storage/emulated/0/Download/ladung
Загружает динамические библиотеки:
- SecShell
- cocos2dcpp
- engine
- fporpoise
- libSecShell-x86
- n884e6
- null
- plugManager
Использует следующие алгоритмы для шифрования данных:
- AES
- AES-CBC-PKCS7Padding
- DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES
- AES-CBC-PKCS7Padding
- DES-CBC-PKCS5Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из SMS.
Получает информацию об отправленых/принятых SMS.
