Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.RemoteCode.907
- Android.Triada.258.origin
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(HTTP/1.1) i####.cn.com:80
- TCP(HTTP/1.1) p1.i####.cc:80
- TCP(HTTP/1.1) www.huangda####.com:80
- TCP(HTTP/1.1) v####.api.eeric####.com:80
- TCP(HTTP/1.1) ji####.jieme####.com:8152
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) gd.a.s####.com:80
- TCP(TLS/1.0) md####.google####.com:443
- TCP(TLS/1.0) gv1.x####.com:443
- TCP(TLS/1.0) 1####.194.222.95:443
- TCP(TLS/1.2) 64.2####.161.113:443
- TCP(TLS/1.2) 64.2####.165.95:443
- TCP(TLS/1.2) 74.1####.131.94:443
- UDP rr1---s####.g####.com:443
- UDP 64.2####.162.95:443
- UDP 85.1####.117.141:443
Запросы DNS:
- a####.u####.com
- gv1.x####.com
- i####.api.zhifa####.####.8
- i####.api.zhifa####.####.8
- i####.api.zhifa####.net
- i####.api.zhifa####.net
- i####.cn.com
- ji####.jieme####.com
- m####.go####.com
- md####.google####.com
- p1.i####.cc
- pg.x####.com
- pg.x####.com.####.8
- pv.s####.com
- re####.api.zhifa####.####.8
- re####.api.zhifa####.net
- rr1---s####.g####.com
- sdk.api.zhifa####.####.8
- sdk.api.zhifa####.net
- v####.api.eeric####.com
- www.huangda####.com
Запросы HTTP GET:
- gd.a.s####.com/cityjson?ie=####
- i####.cn.com/a/387c02dfc344ccf6c121ea60ac9b7fbd0
- www.huangda####.com/active!activeLog.action?provider=####&clickId=####&m...
- www.huangda####.com/indexx.php
- www.huangda####.com/payres!getResource.action?resTypes=####&appid=####&c...
Запросы HTTP POST:
- a####.u####.com/app_logs
- gv1.x####.com:443/g/d?crc=####
- ji####.jieme####.com:8152/ryf_webserver/payment/checkupdate.html
- p1.i####.cc/index.php/MC/HB
- v####.api.eeric####.com/api/payment/mobileInit.html
- www.huangda####.com/shop/shop_upload_log
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.appInfo
- /data/data/####/.imprint
- /data/data/####/347781996696402-journal
- /data/data/####/387c02dfc344ccf6c121ea60ac9b7fbd0;account_file.xml
- /data/data/####/5.3.0.dex
- /data/data/####/5.3.0.dex.flock (deleted)
- /data/data/####/5.3.0.jar
- /data/data/####/QPAY.apk
- /data/data/####/QPAY.dex
- /data/data/####/QPAY.dex.flock (deleted)
- /data/data/####/TD_app_pefercen_profile.xml
- /data/data/####/WebViewChromiumPrefs.xml
- /data/data/####/baidu
- /data/data/####/com.newgtszqmaamf.ff_preferences.xml
- /data/data/####/config50026.xml
- /data/data/####/config50026.xml.bak
- /data/data/####/exchangeIdentity.json
- /data/data/####/jiepay_config.xml
- /data/data/####/jiepay_config.xml.bak
- /data/data/####/jiepayplugin.apk
- /data/data/####/jiepayplugin.dex
- /data/data/####/jiepayplugin.dex.flock (deleted)
- /data/data/####/jiepaysmspay.db
- /data/data/####/jiepaysmspay.db-journal
- /data/data/####/libexec.so
- /data/data/####/metrics_guid
- /data/data/####/msg_com.yf.y.f.init.plugin.dao.DBOpenHelper.db
- /data/data/####/msg_com.yf.y.f.init.plugin.dao.DBOpenHelper.db-journal
- /data/data/####/new_md.dex
- /data/data/####/new_md.dex.flock (deleted)
- /data/data/####/new_md.jar
- /data/data/####/p210C446e9v6r6x9j921b8B7l7b4g3.xml
- /data/data/####/pref_file.xml
- /data/data/####/pretw.xml
- /data/data/####/proc_auxv
- /data/data/####/qz
- /data/data/####/sdk.xml
- /data/data/####/sms_db
- /data/data/####/sms_db-journal
- /data/data/####/sp_name_configcom.yf.y.f.init.plugin.util.SPUtil.xml
- /data/data/####/talkingdata_app.db-journal
- /data/data/####/talkingdata_app_process_preferences_file
- /data/data/####/talkingdata_app_version_preferences_file
- /data/data/####/td_pefercen_profile.xml
- /data/data/####/tdid.xml
- /data/data/####/tw.dex
- /data/data/####/tw.dex.flock (deleted)
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/wyzf_configcom.yf.y.f.init.util.e.xml
- /data/data/####/xxx
- /data/data/####/yf.apk
- /data/data/####/yf.dex
- /data/data/####/yf.dex.flock (deleted)
- /data/media/####/.tcookieid
- /data/media/####/qshp_3001_2295.zip
- /data/media/####/tw
- /data/misc/####/primary.prof
Другие:
Запускает следующие shell-скрипты:
- cat /sys/block/mmcblk0/device/cid
- getprop ro.product.cpu.abi
Загружает динамические библиотеки:
- libexec
- libgame
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- DES
- DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES
- AES-CBC-PKCS5Padding
- DES
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из SMS.
Получает информацию об отправленых/принятых SMS.
