Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.RemoteCode.242.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) 1####.77.148.19:6099
- TCP(HTTP/1.1) 4####.98.49.93:80
- TCP(HTTP/1.1) bl.r.numbero####.cn:80
- TCP(HTTP/1.1) gd.a.s####.com:80
- TCP(HTTP/1.1) ot.prs.qin####.com:80
- TCP(HTTP/1.1) bl.f.numbero####.cn:80
- TCP(HTTP/1.1) 47.1####.57.117:80
- TCP(HTTP/1.1) fy.bigb####.com:6099
Запросы DNS:
- bl.f.numbero####.cn
- bl.r.numbero####.cn
- fy.bigb####.com
- ot.m.qin####.com
- ot.prs.qin####.com
- pv.s####.com
Запросы HTTP GET:
- gd.a.s####.com/cityjson?ie=####
Запросы HTTP POST:
- 4####.98.49.93/q3265Xdk/E60g
- 47.1####.57.117/JBVZVr/niyaei
- 47.1####.57.117/ei6VRb/ZJnAba
- bl.f.numbero####.cn/J7Izocp1/FMc7
- bl.f.numbero####.cn/SlAybZh1/rXfV
- bl.r.numbero####.cn/J7Izocp1/FMc7
- bl.r.numbero####.cn/m3fb2crQ/YVYZ
- bl.r.numbero####.cn/m3fb2crQ/a4Xd
- bl.r.numbero####.cn/q3265Xdk/E60g
- fy.bigb####.com:6099/aps/
- ot.prs.qin####.com/7ziimi/QriUva
- ot.prs.qin####.com/7ziimi/ieuYzm
- ot.prs.qin####.com/JBVZVr/niyaei
- ot.prs.qin####.com/ei6VRb/ZJnAba
- ot.prs.qin####.com/zIFvYr/uaqmAn
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.edata
- /data/data/####/1581732933179
- /data/data/####/1581732935712
- /data/data/####/1581732948641
- /data/data/####/1581732961843
- /data/data/####/1581732964581
- /data/data/####/1581732976020
- /data/data/####/1581732979122
- /data/data/####/1581732990348
- /data/data/####/cCache.xml
- /data/data/####/classes.dex
- /data/data/####/classes.dve
- /data/data/####/classes.jar
- /data/data/####/com.SecShell.tmp2130
- /data/data/####/com.SecShell.tmp2257
- /data/data/####/com.SecShell.tmp2383
- /data/data/####/com.SecShell.tmp2499
- /data/data/####/com.SecShell.tmp2560
- /data/data/####/com.SecShell.tmp2665
- /data/data/####/com.SecShell.tmp2727
- /data/data/####/com.SecShell.tmp2849
- /data/data/####/com.SecShell.tmp3007
- /data/data/####/lb.db-journal
- /data/data/####/qs_LcCache.xml
- /data/data/####/uid.f
- /data/data/####/zdbaj.jar
Другие:
Загружает динамические библиотеки:
- SecShell
- cocos2dcpp
- engine
- libSecShell-x86
- n5fc86
- plugManager
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS7Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS7Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из SMS.
Получает информацию об отправленых/принятых SMS.
