Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.SmsSpy.677.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) gaand####.talking####.net:80
- TCP(HTTP/1.1) q####.qi1####.com:14302
Запросы DNS:
- gaand####.talking####.net
- mt####.go####.com
- q####.qi1####.com
- q####.qi1####.com
Запросы HTTP POST:
- gaand####.talking####.net/g/d?crc=####
- q####.qi1####.com:14302/sdk_login?t=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/250026699187743;account_file.xml
- /data/data/####/awres209_about_bg.gifjpic
- /data/data/####/awres209_b_cancel.gifppic
- /data/data/####/awres209_b_item1.gifppic
- /data/data/####/awres209_b_item2.gifppic
- /data/data/####/awres209_b_item3.gifppic
- /data/data/####/awres209_b_item4.gifppic
- /data/data/####/awres209_b_item5.gifppic
- /data/data/####/awres209_b_money1.gifppic
- /data/data/####/awres209_b_money2.gifppic
- /data/data/####/awres209_b_paused.gifppic
- /data/data/####/awres209_b_resume.gifppic
- /data/data/####/awres209_bg_cover.mp3
- /data/data/####/awres209_brush_back.gifppic
- /data/data/####/awres209_brush_bg.gifppic
- /data/data/####/awres209_brush_select.gifppic
- /data/data/####/awres209_challenge_clock.gifppic
- /data/data/####/awres209_challenge_max.gifppic
- /data/data/####/awres209_challenge_time_bg.gifppic
- /data/data/####/awres209_challenge_time_line.gifppic
- /data/data/####/awres209_chg_gift_bg.gifppic
- /data/data/####/awres209_chg_gift_close.gifppic
- /data/data/####/awres209_chg_gift_ok.gifppic
- /data/data/####/awres209_chg_gift_serv.gifppic
- /data/data/####/awres209_chg_gift_title1.gifppic
- /data/data/####/awres209_chg_gift_title2.gifppic
- /data/data/####/awres209_chg_gift_title3.gifppic
- /data/data/####/awres209_chg_gift_title4.gifppic
- /data/data/####/awres209_chg_gift_title5.gifppic
- /data/data/####/awres209_chg_gift_title6.gifppic
- /data/data/####/awres209_chg_gift_yuan.gifppic
- /data/data/####/awres209_cover.gifjpic
- /data/data/####/awres209_cover_b0.gifppic
- /data/data/####/awres209_cover_b1.gifppic
- /data/data/####/awres209_cover_b2.gifppic
- /data/data/####/awres209_cover_b3.gifppic
- /data/data/####/awres209_cover_b4.gifppic
- /data/data/####/awres209_cover_b5.gifppic
- /data/data/####/awres209_cover_b6.gifppic
- /data/data/####/awres209_cover_b7.gifppic
- /data/data/####/awres209_cover_b8.gifppic
- /data/data/####/awres209_cover_b9.gifppic
- /data/data/####/awres209_cover_tip.gifppic
- /data/data/####/awres209_ef_buy_money.mp3
- /data/data/####/awres209_ef_challenge_succ.mp3
- /data/data/####/awres209_ef_enco_1_jy.mp3
- /data/data/####/awres209_ef_enco_2_jxnl.mp3
- /data/data/####/awres209_ef_enco_3_thl.mp3
- /data/data/####/awres209_ef_enco_4_gdpl.mp3
- /data/data/####/awres209_ef_enco_5_kbl.mp3
- /data/data/####/awres209_ef_enco_6_tgll.mp3
- /data/data/####/awres209_ef_enco_7_cjwm.mp3
- /data/data/####/awres209_ef_enco_8_wsbl.mp3
- /data/data/####/awres209_ef_enco_9_wylb.mp3
- /data/data/####/awres209_ef_fireworks_1.mp3
- /data/data/####/awres209_ef_fireworks_2.mp3
- /data/data/####/awres209_ef_fireworks_3.mp3
- /data/data/####/awres209_ef_items_1_bomb.mp3
- /data/data/####/awres209_ef_items_2_brush.mp3
- /data/data/####/awres209_ef_items_3_reset.mp3
- /data/data/####/awres209_ef_items_4_magic.mp3
- /data/data/####/awres209_ef_level_fail.mp3
- /data/data/####/awres209_ef_level_next.mp3
- /data/data/####/awres209_ef_level_pass.mp3
- /data/data/####/awres209_ef_level_start.mp3
- /data/data/####/awres209_ef_stars_bomb.mp3
- /data/data/####/awres209_ef_stars_touch.mp3
- /data/data/####/awres209_finger.gifppic
- /data/data/####/awres209_flower.gifppic
- /data/data/####/awres209_game_name.gifppic
- /data/data/####/awres209_help_1.gifppic
- /data/data/####/awres209_lottery_b_1.gifppic
- /data/data/####/awres209_lottery_bg.gifppic
- /data/data/####/awres209_lottery_deco.gifppic
- /data/data/####/awres209_lottery_price.gifppic
- /data/data/####/awres209_mall_bg.gifppic
- /data/data/####/awres209_mall_buy1.gifppic
- /data/data/####/awres209_mall_buy2.gifppic
- /data/data/####/awres209_mall_close1.gifppic
- /data/data/####/awres209_mall_close2.gifppic
- /data/data/####/awres209_mall_list_bg.gifppic
- /data/data/####/awres209_message_b_back1.gifppic
- /data/data/####/awres209_message_b_back2.gifppic
- /data/data/####/awres209_message_b_chal1.gifppic
- /data/data/####/awres209_message_b_chal2.gifppic
- /data/data/####/awres209_message_b_close1.gifppic
- /data/data/####/awres209_message_b_close2.gifppic
- /data/data/####/awres209_message_b_no1.gifppic
- /data/data/####/awres209_message_b_no2.gifppic
- /data/data/####/awres209_message_b_over1.gifppic
- /data/data/####/awres209_message_b_over2.gifppic
- /data/data/####/awres209_message_b_yes1.gifppic
- /data/data/####/awres209_message_b_yes2.gifppic
- /data/data/####/awres209_message_b_yes3.gifppic
- /data/data/####/awres209_message_b_yes4.gifppic
- /data/data/####/awres209_message_bg_dialog0.gifppic
- /data/data/####/awres209_message_bg_dialog1.gifppic
- /data/data/####/awres209_message_bg_fail.gifppic
- /data/data/####/awres209_message_bg_over.gifppic
- /data/data/####/awres209_message_bg_succ.gifppic
- /data/data/####/awres209_num1.gifppic
- /data/data/####/awres209_num10.gifppic
- /data/data/####/awres209_num11.gifppic
- /data/data/####/awres209_num12.gifppic
- /data/data/####/awres209_num13.gifppic
- /data/data/####/awres209_num14.gifppic
- /data/data/####/awres209_num15.gifppic
- /data/data/####/awres209_num16.gifppic
- /data/data/####/awres209_num2.gifppic
- /data/data/####/awres209_num3.gifppic
- /data/data/####/awres209_num4.gifppic
- /data/data/####/awres209_num5.gifppic
- /data/data/####/awres209_num6.gifppic
- /data/data/####/awres209_num7.gifppic
- /data/data/####/awres209_num8.gifppic
- /data/data/####/awres209_num9.gifppic
- /data/data/####/awres209_pause_b01.gifppic
- /data/data/####/awres209_pause_b02.gifppic
- /data/data/####/awres209_pause_b11.gifppic
- /data/data/####/awres209_pause_b12.gifppic
- /data/data/####/awres209_pause_b21.gifppic
- /data/data/####/awres209_pause_b22.gifppic
- /data/data/####/awres209_pause_b31.gifppic
- /data/data/####/awres209_pause_b32.gifppic
- /data/data/####/awres209_pause_b41.gifppic
- /data/data/####/awres209_pause_b42.gifppic
- /data/data/####/awres209_pause_bg.gifppic
- /data/data/####/awres209_pause_tip.gifppic
- /data/data/####/awres209_running_bg.gifjpic
- /data/data/####/awres209_running_dst.gifppic
- /data/data/####/awres209_running_level.gifppic
- /data/data/####/awres209_running_level_pass.gifppic
- /data/data/####/awres209_running_ready_go.gifppic
- /data/data/####/awres209_running_remanent_1.gifppic
- /data/data/####/awres209_running_remanent_2.gifppic
- /data/data/####/awres209_running_remanent_3.gifppic
- /data/data/####/awres209_running_remove_1.gifppic
- /data/data/####/awres209_running_remove_2.gifppic
- /data/data/####/awres209_tips_0.gifppic
- /data/data/####/awres209_tips_1.gifppic
- /data/data/####/awres209_tips_2.gifppic
- /data/data/####/awres209_tips_3.gifppic
- /data/data/####/awres209_tips_4.gifppic
- /data/data/####/awres209_tips_5.gifppic
- /data/data/####/awres209_tips_6.gifppic
- /data/data/####/awres209_tips_7.gifppic
- /data/data/####/awres209_tips_8.gifppic
- /data/data/####/awres209_tips_9.gifppic
- /data/data/####/awres209_xx0.gifppic
- /data/data/####/awres209_xx1.gifppic
- /data/data/####/awres209_xx2.gifppic
- /data/data/####/awres209_xx3.gifppic
- /data/data/####/awres209_xx4.gifppic
- /data/data/####/baidu
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/config.properties
- /data/data/####/helper
- /data/data/####/libgame.so
- /data/data/####/libhelper.so
- /data/data/####/libsmsmanager.so
- /data/data/####/libzxvps.so
- /data/data/####/mobclick_agent_cached_qeg.wqq.qge.uyq3003
- /data/data/####/pid
- /data/data/####/pref_file.xml
- /data/data/####/qy_db_pay
- /data/data/####/qy_db_pay-journal
- /data/data/####/td_pefercen_profile.xml
- /data/data/####/tdandroidgame
- /data/data/####/tdid.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/unknown.xml
- /data/data/####/whwja4ipjvb6qya6.dex
- /data/media/####/.tcookieid
Другие:
Запускает следующие shell-скрипты:
- app_process /system/bin com.android.commands.am.Am startservice --user 0 -n <Package>/com.google.android.gms.analytics.CampaignTrackingService
- cat /sys/block/mmcblk0/device/cid
- chmod 777 <Package Folder>/files/_zx_lib/helper
- dd if=<Package Folder>/files/_zx_lib/libhelper.so of=<Package Folder>/files/_zx_lib/helper
- ls -l /system/bin/su
- sh
Загружает динамические библиотеки:
- gkg8hi6hpvve2vu4
- libgame
- libhelper
- libsmsmanager
- libzxvps
Использует следующие алгоритмы для шифрования данных:
- DES-ECB-NoPadding
Осуществляет доступ к приватному интерфейсу ITelephony.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из SMS.
Получает информацию об отправленых/принятых SMS.
