Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Xiny.65.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) ff.t####.com.####.com:80
- TCP(HTTP/1.1) so3.yo####.com:80
- TCP rou.yo####.com:7702
- TCP so3.yo####.com:7703
- TCP so2.yo####.com:7702
- TCP so1.yo####.com:7701
Запросы DNS:
- f.you####.com
- ff.t####.com
- int.d####.s####.####.cn
- m####.91.com
- mobiled####.91.com
- rou.yo####.com
- so1.yo####.com
- so2.yo####.com
- so3.yo####.com
Запросы HTTP GET:
- ff.t####.com.####.com/d/455u.jpg
- ff.t####.com.####.com/d/45ap.jpg
- so3.yo####.com/cdn?id=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.md5
- /data/data/####/.sec_version
- /data/data/####/DianJinStatistics.db
- /data/data/####/DianJinStatistics.db-journal
- /data/data/####/classes.dex
- /data/data/####/classes.jar
- /data/data/####/com.coscis.bbgarden
- /data/data/####/com.coscis.bbgarden.art
- /data/data/####/com.coscis.bbgarden_preferences.xml
- /data/data/####/com_nd_dianjin_sdk_config.xml
- /data/data/####/container.apk
- /data/data/####/container.dex
- /data/data/####/container.pre_global_config
- /data/data/####/device_id.xml.xml
- /data/data/####/dian.jin.statistics.pref.xml
- /data/data/####/libsecexe.x86.so
- /data/data/####/libsecmain.x86.so
- /data/data/####/provider_center.xml
- /data/data/####/qed.dex (deleted)
- /data/data/####/qed.jar
- /data/data/####/yoo_fsac_pre.xml
- /data/data/####/yoo_fsappnfo_pre.xml
- /data/data/####/yoo_fsconf_pre.xml
- /data/data/####/yoo_fsinfo_pre.xml
- /data/data/####/yoo_fstrategy_pre.xml
- /data/data/####/yoo_fstrategy_pre.xml.bak
- /data/data/####/yoo_r_common_pre.xml
- /data/data/####/yoo_s_download.db
- /data/data/####/yoo_s_download.db-journal
- /data/media/####/.DianJinStatisticsTid
- /data/media/####/455u.jpg.data
- /data/media/####/45ap.jpg.data
- /data/media/####/598165d8f7d7e39e29a26fe86d8d6a.properties
- /data/media/####/history
Другие:
Запускает следующие shell-скрипты:
- <Package> <Package> -1829737288 0 /data/app/<Package>-1.apk 41 <Package> 43 44
- <Package> <Package> -1829737288 0 /data/app/<Package>-1.apk 41 <Package> 49 50
- <Package> <Package> -1829737288 0 /data/app/<Package>-1.apk 44 <Package> 53 54
- <Package> <Package> -1829737288 0 /data/app/<Package>-1.apk 45 <Package> 54 55
- <Package> <Package> -1829737288 0 /data/app/<Package>-1.apk 46 <Package> 55 56
- <Package> <Package> -1836602184 0 /data/app/<Package>-1.apk 46 <Package> 55 56
- chmod 755 <Package Folder>/.cache/<Package>
- chmod 755 <Package Folder>/.cache/<Package>.art
- getprop ro.product.cpu.abi
Загружает динамические библиотеки:
- cocos2dcpp
- libsecexe.x86
Использует следующие алгоритмы для шифрования данных:
- DESede-CBC-PKCS7Padding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- DES
- DESede-CBC-PKCS7Padding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию о настроках APN.
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
Управляет Wi-Fi-подключением.
