Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.RemoteCode.242.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) 1####.159.180.48:8090
- TCP(HTTP/1.1) lp2.lapia####.com:6099
- TCP(HTTP/1.1) 1####.78.31.198:8030
- TCP(HTTP/1.1) 1####.159.152.136:8090
- TCP(HTTP/1.1) 1####.100.207.230:80
- TCP(HTTP/1.1) ot.prs.qin####.com:80
- TCP(HTTP/1.1) ap.bigb####.com:6099
- TCP(HTTP/1.1) a####.on####.club:80
- TCP(HTTP/1.1) adl.a####.net:80
- TCP d.angs####.com:9270
Запросы DNS:
- a####.on####.club
- adl.a####.net
- ap.bigb####.com
- api.qiazhiw####.cn
- d.angs####.com
- l####.bigb####.com
- lp2.lapia####.com
- ot.cor.qin####.com
- ot.grb.qin####.com
- ot.m.qin####.com
- ot.prs.qin####.com
Запросы HTTP GET:
- a####.on####.club/fileupload/4356fc9d78033b29.jar
- adl.a####.net/dd/a/dl?appId=####
Запросы HTTP POST:
- ap.bigb####.com:6099/aps/
- lp2.lapia####.com:6099/aps/
- ot.prs.qin####.com/7ziimi/vuL5LR
- ot.prs.qin####.com/JBVZVr/niyaei
- ot.prs.qin####.com/ei6VRb/nvpXut
- ot.prs.qin####.com/zIFvYr/o4UbgN
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.edata
- /data/data/####/NorPay_SP.xml
- /data/data/####/SF_C.xml
- /data/data/####/XinZF.xml
- /data/data/####/XinZF_conf.xml
- /data/data/####/XinZFsmspay.db
- /data/data/####/XinZFsmspay.db-journal
- /data/data/####/_fq_2.0.1_use.jar
- /data/data/####/a4b645a09e1352ed9a43ff469655db6d_3_1_5.zip.tmp
- /data/data/####/classes.dex
- /data/data/####/classes.dve
- /data/data/####/classes.jar
- /data/data/####/com.SecShell.tmp2134
- /data/data/####/com.SecShell.tmp2258
- /data/data/####/com.SecShell.tmp2294
- /data/data/####/com.SecShell.tmp2356
- /data/data/####/com.SecShell.tmp2394
- /data/data/####/com.SecShell.tmp2430
- /data/data/####/com.SecShell.tmp2477
- /data/data/####/com.SecShell.tmp2511
- /data/data/####/com.SecShell.tmp2545
- /data/data/####/com.SecShell.tmp2593
- /data/data/####/com.SecShell.tmp2627
- /data/data/####/com.SecShell.tmp2661
- /data/data/####/com.SecShell.tmp2706
- /data/data/####/com.SecShell.tmp2744
- /data/data/####/com.SecShell.tmp2779
- /data/data/####/com.SecShell.tmp2823
- /data/data/####/com.SecShell.tmp2857
- /data/data/####/com.SecShell.tmp2891
- /data/data/####/com.SecShell.tmp2937
- /data/data/####/com.SecShell.tmp2973
- /data/data/####/com.SecShell.tmp3007
- /data/data/####/com.SecShell.tmp3041
- /data/data/####/com.SecShell.tmp3075
- /data/data/####/com.SecShell.tmp3109
- /data/data/####/com.SecShell.tmp3154
- /data/data/####/com.SecShell.tmp3190
- /data/data/####/com.SecShell.tmp3224
- /data/data/####/com.SecShell.tmp3267
- /data/data/####/com.SecShell.tmp3302
- /data/data/####/com.SecShell.tmp3336
- /data/data/####/com.SecShell.tmp3382
- /data/data/####/com.SecShell.tmp3418
- /data/data/####/com.SecShell.tmp3452
- /data/data/####/com.SecShell.tmp3496
- /data/data/####/com.SecShell.tmp3530
- /data/data/####/com.SecShell.tmp3564
- /data/data/####/com.SecShell.tmp3612
- /data/data/####/com.SecShell.tmp3646
- /data/data/####/com.SecShell.tmp3680
- /data/data/####/com.SecShell.tmp3724
- /data/data/####/com.SecShell.tmp3761
- /data/data/####/com.SecShell.tmp3795
- /data/data/####/com.SecShell.tmp3842
- /data/data/####/com.SecShell.tmp3876
- /data/data/####/com.SecShell.tmp3910
- /data/data/####/com.SecShell.tmp3956
- /data/data/####/com.SecShell.tmp3992
- /data/data/####/com.SecShell.tmp4026
- /data/data/####/com.SecShell.tmp4070
- /data/data/####/com.SecShell.tmp4104
- /data/data/####/com.SecShell.tmp4138
- /data/data/####/com.SecShell.tmp4183
- /data/data/####/com.SecShell.tmp4219
- /data/data/####/com.SecShell.tmp4254
- /data/data/####/com.SecShell.tmp4300
- /data/data/####/com.SecShell.tmp4335
- /data/data/####/com.SecShell.tmp4372
- /data/data/####/com.SecShell.tmp4417
- /data/data/####/com.SecShell.tmp4452
- /data/data/####/com.SecShell.tmp4486
- /data/data/####/com.SecShell.tmp4533
- /data/data/####/com.SecShell.tmp4569
- /data/data/####/com.SecShell.tmp4603
- /data/data/####/com.SecShell.tmp4646
- /data/data/####/com.SecShell.tmp4681
- /data/data/####/com.SecShell.tmp4715
- /data/data/####/com.SecShell.tmp4759
- /data/data/####/com.SecShell.tmp4796
- /data/data/####/com.SecShell.tmp4832
- /data/data/####/com.SecShell.tmp4876
- /data/data/####/com.SecShell.tmp4911
- /data/data/####/com.SecShell.tmp4945
- /data/data/####/com.SecShell.tmp5006
- /data/data/####/dmmoodd.xml
- /data/data/####/one.dex
- /data/data/####/onePayV3.xml
- /data/data/####/orbgi.jar
- /data/data/####/plbga.jar
- /data/data/####/qs_LcCache.xml
- /data/data/####/sfp
- /data/data/####/uid.f
- /data/data/####/yapfq.db
- /data/data/####/yapfq.db-journal
- /data/data/####/ydutl.cf
- /data/data/####/yunUid.f
- /data/media/####/plugin.apk
- /data/media/####/z.jar
Другие:
Запускает следующие shell-скрипты:
- /system/bin/su
- app_process system/bin com.google.provider.vendor.tool.Main /storage/emulated/0/goog1e/data/plugin.apk
- ls -l /system/bin/su
Загружает динамические библиотеки:
- SecShell
- cocos2djs
- engine
- libSecShell-x86
- n67c5f
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS7Padding
- DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS7Padding
- DES-CBC-PKCS5Padding
Использует повышенные привилегии.
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из SMS.
Получает информацию об отправленых/принятых SMS.
