Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.SmsSpy.677.origin
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(HTTP/1.1) i####.cn.com:80
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(TLS/1.0) www.google####.com:443
- TCP(TLS/1.0) gv1.x####.com:443
- TCP(TLS/1.2) www.google####.com:443
- TCP(TLS/1.2) 64.2####.162.102:443
Запросы DNS:
- a####.u####.com
- gv1.x####.com
- i####.cn.com
- m####.go####.com
- pg.x####.com
- pg.x####.com.####.8
- q####.qi1####.com
- q####.qi1####.com
- q####.qi1####.com.####.8
- q####.qi1####.com.####.8
- qyc####.qi1####.com
- qyc####.qi1####.com.####.8
- www.google####.com
Запросы HTTP GET:
- i####.cn.com/a/387c02dfc344ccf6c121ea60ac9b7fbd0
Запросы HTTP POST:
- a####.u####.com/app_logs
- gv1.x####.com:443/g/d?crc=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.appInfo
- /data/data/####/.imprint
- /data/data/####/01fengmian.csb
- /data/data/####/02mushi1.csb
- /data/data/####/03mushi2.csb
- /data/data/####/048qiu.csb
- /data/data/####/05sinuoke.csb
- /data/data/####/06zanting.csb
- /data/data/####/07shengli.csb
- /data/data/####/08shibai.csb
- /data/data/####/09help.csb
- /data/data/####/1.mp3
- /data/data/####/10-1.mp3
- /data/data/####/10-2.mp3
- /data/data/####/10-3.mp3
- /data/data/####/10about.csb
- /data/data/####/11-1.mp3
- /data/data/####/11-2.mp3
- /data/data/####/11jiangi1.csb
- /data/data/####/12.mp3
- /data/data/####/12jiangi2.csb
- /data/data/####/13-1.mp3
- /data/data/####/13-2.mp3
- /data/data/####/13jiangi3.csb
- /data/data/####/14-2.mp3
- /data/data/####/14.mp3
- /data/data/####/14jiangi4.csb
- /data/data/####/15.mp3
- /data/data/####/15jiangi5.csb
- /data/data/####/16-1.mp3
- /data/data/####/16-2.mp3
- /data/data/####/16jiangi6.csb
- /data/data/####/17.mp3
- /data/data/####/17jiangi7.csb
- /data/data/####/18jiangi8.csb
- /data/data/####/19jiangi9.csb
- /data/data/####/2.mp3
- /data/data/####/204696699187743;account_file.xml
- /data/data/####/20jiangi10.csb
- /data/data/####/21jiangi11.csb
- /data/data/####/22jiangi12.csb
- /data/data/####/23jiangi13.csb
- /data/data/####/24jiangi14.csb
- /data/data/####/25jiangi15.csb
- /data/data/####/26libao1.csb
- /data/data/####/27libao2.csb
- /data/data/####/28libao3.csb
- /data/data/####/29libao4.csb
- /data/data/####/3.mp3
- /data/data/####/30libao5.csb
- /data/data/####/31libao6.csb
- /data/data/####/32libao7.csb
- /data/data/####/33libao8.csb
- /data/data/####/34libao9.csb
- /data/data/####/35shangcheng3.csb
- /data/data/####/36chengjiu.csb
- /data/data/####/37help.csb
- /data/data/####/38about.csb
- /data/data/####/4-1.mp3
- /data/data/####/4-2.mp3
- /data/data/####/5.mp3
- /data/data/####/6-1.mp3
- /data/data/####/6-6.mp3
- /data/data/####/7.mp3
- /data/data/####/8.mp3
- /data/data/####/9.mp3
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/Cue-1.png
- /data/data/####/Cue-10.png
- /data/data/####/Cue-11.png
- /data/data/####/Cue-12.png
- /data/data/####/Cue-13.png
- /data/data/####/Cue-14.png
- /data/data/####/Cue-15.png
- /data/data/####/Cue-16.png
- /data/data/####/Cue-2.png
- /data/data/####/Cue-3.png
- /data/data/####/Cue-4.png
- /data/data/####/Cue-5.png
- /data/data/####/Cue-6.png
- /data/data/####/Cue-7.png
- /data/data/####/Cue-8.png
- /data/data/####/Cue-9.png
- /data/data/####/TD_app_pefercen_profile.xml
- /data/data/####/TD_app_pefercen_profile.xml.bak
- /data/data/####/UI.plist
- /data/data/####/UI.png
- /data/data/####/X.png
- /data/data/####/a.so
- /data/data/####/about.png
- /data/data/####/achiev01.png
- /data/data/####/achiev02.png
- /data/data/####/achiev03.png
- /data/data/####/achiev04.png
- /data/data/####/achiev05.png
- /data/data/####/achiev06.png
- /data/data/####/achiev07.png
- /data/data/####/achiev08.png
- /data/data/####/achiev09.png
- /data/data/####/achiev10.png
- /data/data/####/achiev11.png
- /data/data/####/achiev12.png
- /data/data/####/achiev13.png
- /data/data/####/achiev14.png
- /data/data/####/achiev15.png
- /data/data/####/achiev16.png
- /data/data/####/allBall1.plist
- /data/data/####/allBall1.png
- /data/data/####/allBall2.plist
- /data/data/####/allBall2.png
- /data/data/####/b.png
- /data/data/####/baidu
- /data/data/####/base.dex
- /data/data/####/base.dex.flock (deleted)
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/chengjiu.plist
- /data/data/####/chengjiu.png
- /data/data/####/chengjiu01.png
- /data/data/####/chengjiu02.png
- /data/data/####/chengjiu03.png
- /data/data/####/chengjiu04.png
- /data/data/####/chengjiu05.png
- /data/data/####/chengjiu06.png
- /data/data/####/chengjiu07.png
- /data/data/####/chengjiu08.png
- /data/data/####/chengjiu09.png
- /data/data/####/chengjiu10.png
- /data/data/####/com.dashi.saich_preferences.xml
- /data/data/####/config.properties
- /data/data/####/cue.png
- /data/data/####/cue_cpu.png
- /data/data/####/daoju1.png
- /data/data/####/daoju2.png
- /data/data/####/daoju3.png
- /data/data/####/daoju4.png
- /data/data/####/daoju5.png
- /data/data/####/daoju55.png
- /data/data/####/dong1.png
- /data/data/####/dong2.png
- /data/data/####/dong3.png
- /data/data/####/dong4.png
- /data/data/####/dzi11.png
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/fengmian1.png
- /data/data/####/fengmian10.png
- /data/data/####/fengmian11.png
- /data/data/####/fengmian12.png
- /data/data/####/fengmian13.png
- /data/data/####/fengmian14.png
- /data/data/####/fengmian15.png
- /data/data/####/fengmian16.png
- /data/data/####/fengmian17.png
- /data/data/####/fengmian18.png
- /data/data/####/fengmian2.png
- /data/data/####/fengmian3.png
- /data/data/####/fengmian4.png
- /data/data/####/fengmian5.png
- /data/data/####/fengmian6.png
- /data/data/####/fengmian7.png
- /data/data/####/fengmian8.png
- /data/data/####/fengmian9.png
- /data/data/####/help1.png
- /data/data/####/helper
- /data/data/####/jiage.png
- /data/data/####/jiangli.png
- /data/data/####/k1.png
- /data/data/####/k2.png
- /data/data/####/k3.png
- /data/data/####/k4.png
- /data/data/####/libao.png
- /data/data/####/libao1.png
- /data/data/####/libao10.png
- /data/data/####/libao11.png
- /data/data/####/libao12.png
- /data/data/####/libao13.png
- /data/data/####/libao2.png
- /data/data/####/libao3.png
- /data/data/####/libao4.png
- /data/data/####/libao5.png
- /data/data/####/libao6.png
- /data/data/####/libao7.png
- /data/data/####/libao8.png
- /data/data/####/libao9.png
- /data/data/####/libgame.so
- /data/data/####/libhelper.so
- /data/data/####/libsmsmanager.so
- /data/data/####/libzxvps.so
- /data/data/####/lizi_1.plist
- /data/data/####/lizi_11.plist
- /data/data/####/lizi_12.plist
- /data/data/####/lizi_14.plist
- /data/data/####/lizi_15.plist
- /data/data/####/lizi_16.plist
- /data/data/####/lizi_17.plist
- /data/data/####/lizi_18.plist
- /data/data/####/lizi_19.plist
- /data/data/####/lizi_2.plist
- /data/data/####/lizi_20.plist
- /data/data/####/lizi_21.plist
- /data/data/####/lizi_22.plist
- /data/data/####/lizi_23.plist
- /data/data/####/lizi_25.plist
- /data/data/####/lizi_26.plist
- /data/data/####/lizi_27.plist
- /data/data/####/lizi_28.plist
- /data/data/####/lizi_29.plist
- /data/data/####/lizi_3.plist
- /data/data/####/lizi_32.plist
- /data/data/####/lizi_33.plist
- /data/data/####/lizi_5.plist
- /data/data/####/lizi_6.plist
- /data/data/####/lizi_7.plist
- /data/data/####/lizi_8.plist
- /data/data/####/lizi_9.plist
- /data/data/####/mushi.plist
- /data/data/####/mushi.png
- /data/data/####/mushi0.png
- /data/data/####/mushi1.png
- /data/data/####/mushi10.png
- /data/data/####/mushi11.png
- /data/data/####/mushi12.png
- /data/data/####/mushi13.png
- /data/data/####/mushi15.png
- /data/data/####/mushi16.png
- /data/data/####/mushi17.png
- /data/data/####/mushi2.png
- /data/data/####/mushi3.png
- /data/data/####/mushi4.png
- /data/data/####/mushi5.png
- /data/data/####/mushi6.png
- /data/data/####/mushi7.png
- /data/data/####/mushi8.png
- /data/data/####/mushi9.png
- /data/data/####/mushim1.png
- /data/data/####/mushim2.png
- /data/data/####/name.png
- /data/data/####/num1.png
- /data/data/####/num2.png
- /data/data/####/other.plist
- /data/data/####/other.png
- /data/data/####/other1.png
- /data/data/####/pid
- /data/data/####/point.png
- /data/data/####/pref_file.xml
- /data/data/####/proc_auxv
- /data/data/####/quan.png
- /data/data/####/quan2.png
- /data/data/####/qy_db_pay-journal
- /data/data/####/renwu00.png
- /data/data/####/renwu01.png
- /data/data/####/renwu1.png
- /data/data/####/renwu10.png
- /data/data/####/renwu11.png
- /data/data/####/renwu12.png
- /data/data/####/renwu13.png
- /data/data/####/renwu14.png
- /data/data/####/renwu15.png
- /data/data/####/renwu2.png
- /data/data/####/renwu3.png
- /data/data/####/renwu4.png
- /data/data/####/renwu5.png
- /data/data/####/renwu6.png
- /data/data/####/renwu7.png
- /data/data/####/renwu8.png
- /data/data/####/renwu9.png
- /data/data/####/rg.png
- /data/data/####/rs.png
- /data/data/####/saog.png
- /data/data/####/sc01.png
- /data/data/####/sc02.png
- /data/data/####/sc03.png
- /data/data/####/sc04.png
- /data/data/####/sc05.png
- /data/data/####/sc06.png
- /data/data/####/sc09.png
- /data/data/####/sc10.png
- /data/data/####/sc11.png
- /data/data/####/sc12.png
- /data/data/####/sc13.png
- /data/data/####/sc14.png
- /data/data/####/sc15.png
- /data/data/####/sc16.png
- /data/data/####/sc17.png
- /data/data/####/sc18.png
- /data/data/####/sc19.png
- /data/data/####/sc20.png
- /data/data/####/sc21.png
- /data/data/####/sc22.png
- /data/data/####/sc24.png
- /data/data/####/sc25.png
- /data/data/####/sc27.png
- /data/data/####/sc28.png
- /data/data/####/sc29.png
- /data/data/####/sc32.png
- /data/data/####/sc33.png
- /data/data/####/sc34.png
- /data/data/####/sc35.png
- /data/data/####/sc7.png
- /data/data/####/sc8.png
- /data/data/####/shuzi1.png
- /data/data/####/shuzi2.png
- /data/data/####/shuzi3.png
- /data/data/####/shuzi4.png
- /data/data/####/snooker.plist
- /data/data/####/snooker.png
- /data/data/####/talkingdata_app.db-journal
- /data/data/####/talkingdata_app_process_preferences_file
- /data/data/####/talkingdata_app_version_preferences_file
- /data/data/####/td_pefercen_profile.xml
- /data/data/####/td_pefercen_profile.xml.bak
- /data/data/####/tdid.xml
- /data/data/####/tishizi1.png
- /data/data/####/tishizi2.png
- /data/data/####/tishizi3.png
- /data/data/####/tishizi4.png
- /data/data/####/tishizi5.png
- /data/data/####/tishizi6.png
- /data/data/####/tishizi7.png
- /data/data/####/tongji1.png
- /data/data/####/tongji10.png
- /data/data/####/tongji2.png
- /data/data/####/tongji3.png
- /data/data/####/tongji4.png
- /data/data/####/tongji5.png
- /data/data/####/tongji6.png
- /data/data/####/tongji8.png
- /data/data/####/tongji9.png
- /data/data/####/touxiang.plist
- /data/data/####/touxiang.png
- /data/data/####/touxiang1.png
- /data/data/####/touxiang2.png
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/ui-zhuo-1.png
- /data/data/####/ui-zhuo-2.png
- /data/data/####/ui-zhuo-3.png
- /data/data/####/ui-zhuo-8.png
- /data/data/####/ui-zhuo-9.png
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/unknown.xml
- /data/data/####/veb9tnaq85w3nt8l.dex
- /data/data/####/veb9tnaq85w3nt8l.dex.flock (deleted)
- /data/data/####/w1.png
- /data/data/####/w2.png
- /data/data/####/w3.png
- /data/data/####/w4.png
- /data/data/####/xie.png
- /data/data/####/zanting1.png
- /data/data/####/zanting2.png
- /data/data/####/zanting3.png
- /data/data/####/zanting4.png
- /data/data/####/zanting5.png
- /data/data/####/zanting6.png
- /data/data/####/zanting7.png
- /data/data/####/zanting8.png
- /data/data/####/zanting9.png
- /data/data/####/zhizhen.png
- /data/data/####/zhm0.png
- /data/data/####/zhm1.png
- /data/data/####/zhm2.png
- /data/data/####/zhm3.png
- /data/data/####/zhm4.png
- /data/data/####/zhm5.png
- /data/data/####/zhm7.png
- /data/data/####/zhm8.png
- /data/data/####/zhm8qiu.png
- /data/data/####/zhmsinuoke.png
- /data/data/####/zhuangbei1.png
- /data/data/####/zhuangbei2.png
- /data/media/####/.tcookieid
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
Другие:
Запускает следующие shell-скрипты:
- app_process /system/bin com.android.commands.am.Am startservice --user 0 -n <Package>/com.google.android.gms.analytics.CampaignTrackingService
- cat /sys/block/mmcblk0/device/cid
- cd <Package Folder>
- chmod 777 /data/user/0/<Package>/files/_zx_lib/helper
- dd if=/data/user/0/<Package>/files/_zx_lib/libhelper.so of=/data/user/0/<Package>/files/_zx_lib/helper
- ls -l /system/bin/su
- ps | grep <Package>
- sh
Загружает динамические библиотеки:
- libgame
- libhelper
- libsmsmanager
- libv5i1gd7pvqckpse6
- libzxvps
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- DES-ECB-NoPadding
Осуществляет доступ к приватному интерфейсу ITelephony.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из SMS.
Получает информацию об отправленых/принятых SMS.
Запрашивает разрешение на отображение системных уведомлений.
