Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Triada.236.origin
- Android.Triada.4567
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) 1####.159.180.48:8090
- TCP(HTTP/1.1) q####.qi1####.com:14302
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) preload####.hishen####.com:5500
- TCP(HTTP/1.1) sdk.qipa####.cn:8088
- TCP(HTTP/1.1) q####.qi1####.com:15302
- TCP(HTTP/1.1) zxc####.wann####.com:8200
- TCP(HTTP/1.1) 1####.159.103.205:8090
- TCP(HTTP/1.1) 1####.159.152.136:8090
Запросы DNS:
- a####.u####.com
- dev.pu####.com
- e4####.oi####.com
- i####.api.qiazhiw####.cn
- prelo####.hishen####.com
- preload####.hishen####.com
- q####.qi1####.com
- sdk.qipa####.cn
- z####.wann####.com
- zxc####.wann####.com
Запросы HTTP POST:
- a####.u####.com/app_logs
- preload####.hishen####.com:5500/api-plugin-jar/thirdPlugin/jars
- q####.qi1####.com:14302/sdk_login?t=####
- q####.qi1####.com:15302/sdk_login?t=####
- sdk.qipa####.cn:8088/a.do
- zxc####.wann####.com:8200/qy/acceptSdkFileReq
- zxc####.wann####.com:8200/qy/getOnlineLoginHttpReq
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/FZ200DL
- /data/data/####/SP_REPLACE_CLASSLOADER_CLASS_NAME.xml
- /data/data/####/abc.xml
- /data/data/####/baidu
- /data/data/####/bg.jpg
- /data/data/####/bi0.png
- /data/data/####/bi1.png
- /data/data/####/bi2.png
- /data/data/####/bi3.png
- /data/data/####/bi4.png
- /data/data/####/bi5.png
- /data/data/####/bi6.png
- /data/data/####/bi7.png
- /data/data/####/black.png
- /data/data/####/blue.png
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/config.properties
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/fwx.kod.kxo
- /data/data/####/fwx.kod.kxo (deleted)
- /data/data/####/game_an0.png
- /data/data/####/game_an1.png
- /data/data/####/game_an2.png
- /data/data/####/game_ball0.png
- /data/data/####/game_ball1.png
- /data/data/####/game_ms0.png
- /data/data/####/game_ms1.png
- /data/data/####/game_tsw.png
- /data/data/####/getprop
- /data/data/####/helper
- /data/data/####/inter_im.png
- /data/data/####/level0.txt
- /data/data/####/libcocos2dcpp.so
- /data/data/####/libhelper.so
- /data/data/####/libsmsmanager.so
- /data/data/####/libzxvps.so
- /data/data/####/log.dat
- /data/data/####/menu_an0.png
- /data/data/####/menu_an1.png
- /data/data/####/menu_an2.png
- /data/data/####/menu_an3.png
- /data/data/####/menu_im.png
- /data/data/####/menu_jian.png
- /data/data/####/menu_ok.png
- /data/data/####/menu_suo.png
- /data/data/####/mid_menu.mp3
- /data/data/####/pid
- /data/data/####/proxy.db
- /data/data/####/proxy.db-journal
- /data/data/####/qy_db_pay
- /data/data/####/qy_db_pay-journal
- /data/data/####/sdk.xml
- /data/data/####/shop_an0.png
- /data/data/####/shop_an1.png
- /data/data/####/shop_an2.png
- /data/data/####/shop_jm.png
- /data/data/####/shop_ts.jpg
- /data/data/####/shop_x.png
- /data/data/####/shu0.png
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/unknown.xml
- /data/data/####/uppbvr9ta7r58xez.dex
- /data/data/####/win_an0.png
- /data/data/####/win_an1.png
- /data/data/####/win_wc.png
- /data/data/####/xing0.png
- /data/data/####/xing1.png
- /data/data/####/yelooe.png
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/device
- /data/media/####/vauid
Другие:
Запускает следующие shell-скрипты:
- app_process /system/bin com.android.commands.am.Am startservice --user 0 -n <Package>/com.google.android.gms.analytics.CampaignTrackingService
- cat /sys/block/mmcblk0/device/cid
- chmod 777 <Package Folder>/files/_zx_lib/helper
- dd if <Package Folder>/files/_zx_lib/libhelper.so of <Package Folder>/files/_zx_lib/helper
- dd if=<Package Folder>/files/_zx_lib/libhelper.so of=<Package Folder>/files/_zx_lib/helper
- df
- getprop
- ls -l /system/bin/su
- rm -f <Package Folder>/files/uppbvr9ta7r58xez.dex
- sh
Загружает динамические библиотеки:
- cocos2dcpp
- libcocos2dcpp
- libhelper
- libsmsmanager
- libzxvps
- ulnb3cuuz06y5a55
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS5Padding
- DES
- DES-ECB-NoPadding
Использует следующие алгоритмы для расшифровки данных:
- AES-ECB-PKCS5Padding
- DES
Осуществляет доступ к приватному интерфейсу ITelephony.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из SMS.
Получает информацию об отправленых/принятых SMS.
