Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.SmsSpy.677.origin
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) 1####.200.176.98:80
- TCP(HTTP/1.1) ga.x####.com.####.com:80
- TCP(TLS/1.0) digital####.google####.com:443
- TCP(TLS/1.0) rr7---s####.g####.com:443
- TCP(TLS/1.0) rr5---s####.g####.com:443
- TCP(TLS/1.0) rr13---####.g####.com:443
- TCP(TLS/1.2) 1####.250.150.101:443
- TCP(TLS/1.2) digital####.google####.com:443
- TCP(TLS/1.2) 64.2####.165.94:443
Запросы DNS:
- a####.u####.com
- digital####.google####.com
- gaand####.talking####.net
- m####.go####.com
- q####.qi1####.com
- q####.qi1####.com
- q####.qi1####.com.####.8
- q####.qi1####.com.####.8
- qyc####.qi1####.com
- qyc####.qi1####.com.####.8
- rr13---####.g####.com
- rr5---s####.g####.com
- rr7---s####.g####.com
- www.google####.com
Запросы HTTP POST:
- a####.u####.com/app_logs
- ga.x####.com.####.com/g/d?crc=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/00.png
- /data/data/####/001.png
- /data/data/####/002.png
- /data/data/####/003.png
- /data/data/####/004.png
- /data/data/####/01.png
- /data/data/####/02.png
- /data/data/####/03.png
- /data/data/####/04.png
- /data/data/####/1001_a.png
- /data/data/####/1005_a.png
- /data/data/####/1011_a.png
- /data/data/####/111.png
- /data/data/####/35a16051534cceb13be17759be5f6cb88;account_file.xml
- /data/data/####/Alvin2.xml
- /data/data/####/Bag.csb
- /data/data/####/Bag_detail.csb
- /data/data/####/Battle1.csb
- /data/data/####/Battle4.csb
- /data/data/####/Box.csb
- /data/data/####/Button_Disable.png
- /data/data/####/Button_Normal.png
- /data/data/####/Button_Press.png
- /data/data/####/Cocos2dxPrefsFile.xml
- /data/data/####/ContextData.xml
- /data/data/####/E1.png
- /data/data/####/E10.png
- /data/data/####/E11.png
- /data/data/####/E13.png
- /data/data/####/E19.png
- /data/data/####/E3.png
- /data/data/####/E31.png
- /data/data/####/E32.png
- /data/data/####/E35.png
- /data/data/####/E39.png
- /data/data/####/E4.png
- /data/data/####/E42.png
- /data/data/####/E45.png
- /data/data/####/E47.png
- /data/data/####/E48.png
- /data/data/####/E50.png
- /data/data/####/E51.png
- /data/data/####/E52.png
- /data/data/####/E8.png
- /data/data/####/Equip.csb
- /data/data/####/Equip_box.csb
- /data/data/####/Equip_detail.csb
- /data/data/####/ImageFile.png
- /data/data/####/Level.csb
- /data/data/####/Loading.csb
- /data/data/####/Peck_gold.csb
- /data/data/####/Raise_detai.csb
- /data/data/####/Register.csb
- /data/data/####/Register_detail.csb
- /data/data/####/Scene.csb
- /data/data/####/Settlement.csb
- /data/data/####/Shop.csb
- /data/data/####/Shop_detail.csb
- /data/data/####/Skill_detail.csb
- /data/data/####/Template.xml
- /data/data/####/TextAtlas.png
- /data/data/####/Town.csb
- /data/data/####/Trial.csb
- /data/data/####/actorLinkBone.xml
- /data/data/####/actor_back.fsh
- /data/data/####/actor_copy.fsh
- /data/data/####/actor_dark.fsh
- /data/data/####/actor_hurt.fsh
- /data/data/####/add.fsh
- /data/data/####/addi.bin
- /data/data/####/anim0.bin
- /data/data/####/anim1.bin
- /data/data/####/anim10.bin
- /data/data/####/anim11.bin
- /data/data/####/anim12.bin
- /data/data/####/anim13.bin
- /data/data/####/anim14.bin
- /data/data/####/anim15.bin
- /data/data/####/anim16.bin
- /data/data/####/anim17.bin
- /data/data/####/anim18.bin
- /data/data/####/anim19.bin
- /data/data/####/anim2.bin
- /data/data/####/anim20.bin
- /data/data/####/anim21.bin
- /data/data/####/anim22.bin
- /data/data/####/anim3.bin
- /data/data/####/anim4.bin
- /data/data/####/anim5.bin
- /data/data/####/anim6.bin
- /data/data/####/anim7.bin
- /data/data/####/anim8.bin
- /data/data/####/anim9.bin
- /data/data/####/att_num1.png
- /data/data/####/att_num2_0_bg.png
- /data/data/####/baidu
- /data/data/####/banner_black_alpha.png
- /data/data/####/base.dex
- /data/data/####/base.dex.flock (deleted)
- /data/data/####/battleEnd_EXP.png
- /data/data/####/battleEnd_lose.png
- /data/data/####/battleEnd_win.png
- /data/data/####/battle_1.png
- /data/data/####/battle_2.png
- /data/data/####/battle_3.png
- /data/data/####/battle_4.png
- /data/data/####/battle_5.png
- /data/data/####/battle_bar_bg_1.png
- /data/data/####/battle_bar_hp_0.png
- /data/data/####/battle_bar_hp_1.png
- /data/data/####/battle_gold.png
- /data/data/####/battle_gongji_0.png
- /data/data/####/battle_gongji_1.png
- /data/data/####/battle_skill1_1.png
- /data/data/####/battle_skill1_2.png
- /data/data/####/battle_skill2_1.png
- /data/data/####/battle_skill2_2.png
- /data/data/####/battle_skill3_1.png
- /data/data/####/battle_skill3_2.png
- /data/data/####/battle_skill4_1.png
- /data/data/####/battle_skill4_2.png
- /data/data/####/battle_skill5_1.png
- /data/data/####/battle_skill5_2.png
- /data/data/####/battle_skill6_1.png
- /data/data/####/battle_skill6_2.png
- /data/data/####/battle_skill7_1.png
- /data/data/####/battle_skill7_2.png
- /data/data/####/battle_skill8_1.png
- /data/data/####/battle_skill8_2.png
- /data/data/####/battle_skill_pecent.png
- /data/data/####/beijing.jpg
- /data/data/####/bg_topsky1.jpg
- /data/data/####/blood_red.png
- /data/data/####/body_0.png
- /data/data/####/body_1.png
- /data/data/####/body_2.png
- /data/data/####/body_3.png
- /data/data/####/body_4.png
- /data/data/####/body_5.png
- /data/data/####/body_6.png
- /data/data/####/body_7.png
- /data/data/####/body_8.png
- /data/data/####/bottom_blackcell.png
- /data/data/####/botton_black.png
- /data/data/####/btn_charge1.png
- /data/data/####/btn_charge11.png
- /data/data/####/btn_charge2.png
- /data/data/####/btn_excode.png
- /data/data/####/btn_excode0.png
- /data/data/####/btn_excode1.png
- /data/data/####/btn_excode22.png
- /data/data/####/btn_peck1.png
- /data/data/####/btn_peck2.png
- /data/data/####/button_change.png
- /data/data/####/button_close.png
- /data/data/####/button_close1.png
- /data/data/####/button_dailysign_black.png
- /data/data/####/button_dailysign_red.png
- /data/data/####/button_pause.png
- /data/data/####/button_turn.png
- /data/data/####/byg.fsh
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/cinema.bin
- /data/data/####/click.ogg
- /data/data/####/coin_1.png
- /data/data/####/com.dcsvte.werdv
- /data/data/####/com.dcsvte.werdv (deleted)
- /data/data/####/combat_bg.png
- /data/data/####/combatword.png
- /data/data/####/config.properties
- /data/data/####/ctext.bin
- /data/data/####/daily.xml
- /data/data/####/dailysign_day_1.png
- /data/data/####/dailysign_day_2.png
- /data/data/####/dailysign_day_3.png
- /data/data/####/dailysign_day_4.png
- /data/data/####/dailysign_day_5.png
- /data/data/####/dailysign_day_6.png
- /data/data/####/dailysign_day_7.png
- /data/data/####/dailysign_icon.png
- /data/data/####/dailysign_iconbg.png
- /data/data/####/dailysign_iconbg1.png
- /data/data/####/dailysign_num.png
- /data/data/####/data0.bin
- /data/data/####/datatemp.bin
- /data/data/####/diamond_1.png
- /data/data/####/drop.xml
- /data/data/####/equip.xml
- /data/data/####/et_duijiang.png
- /data/data/####/exchangeIdentity.json
- /data/data/####/gamelevel.xml
- /data/data/####/get_pass.png
- /data/data/####/helper
- /data/data/####/hero.csb
- /data/data/####/human.bin
- /data/data/####/i0.png
- /data/data/####/i33.png
- /data/data/####/i34.png
- /data/data/####/i35.png
- /data/data/####/i36.png
- /data/data/####/i37.png
- /data/data/####/i38.png
- /data/data/####/i39.png
- /data/data/####/i40.png
- /data/data/####/i41.png
- /data/data/####/i42.png
- /data/data/####/i43.png
- /data/data/####/i44.png
- /data/data/####/i45.png
- /data/data/####/i46.png
- /data/data/####/icon_coin.png
- /data/data/####/icon_coins.png
- /data/data/####/icon_day7.png
- /data/data/####/icon_diamond.png
- /data/data/####/icon_left.png
- /data/data/####/icon_lock.png
- /data/data/####/icon_right.png
- /data/data/####/icon_select.png
- /data/data/####/img.bin
- /data/data/####/img_peck_bg0.png
- /data/data/####/img_peck_bg1.png
- /data/data/####/img_toastbg.png
- /data/data/####/item_black_cell.png
- /data/data/####/item_black_cell1.png
- /data/data/####/jianhao.png
- /data/data/####/levelup.ogg
- /data/data/####/libcocos2dcpp.so
- /data/data/####/libhelper.so
- /data/data/####/libsmsmanager.so
- /data/data/####/libzxvps.so
- /data/data/####/loading_banner.png
- /data/data/####/loading_black.png
- /data/data/####/logo1.png
- /data/data/####/lost.ogg
- /data/data/####/m6e46vrc0wcfjuh2.dex
- /data/data/####/m6e46vrc0wcfjuh2.dex.flock (deleted)
- /data/data/####/mainbg.ogg
- /data/data/####/map0.bin
- /data/data/####/map1.bin
- /data/data/####/map10.bin
- /data/data/####/map11.bin
- /data/data/####/map12.bin
- /data/data/####/map13.bin
- /data/data/####/map14.bin
- /data/data/####/map15.bin
- /data/data/####/map16.bin
- /data/data/####/map17.bin
- /data/data/####/map18.bin
- /data/data/####/map19.bin
- /data/data/####/map1_0.csb
- /data/data/####/map1_1.csb
- /data/data/####/map1_2.csb
- /data/data/####/map2.bin
- /data/data/####/map20.bin
- /data/data/####/map2_0.csb
- /data/data/####/map2_1.csb
- /data/data/####/map2_2.csb
- /data/data/####/map3.bin
- /data/data/####/map4.bin
- /data/data/####/map5.bin
- /data/data/####/map6.bin
- /data/data/####/map7.bin
- /data/data/####/map8.bin
- /data/data/####/map9.bin
- /data/data/####/menu.ogg
- /data/data/####/menu_equip.png
- /data/data/####/menu_lock.png
- /data/data/####/menu_money.png
- /data/data/####/menu_pack.png
- /data/data/####/menu_skill.png
- /data/data/####/menu_upgrade.png
- /data/data/####/mission_star.png
- /data/data/####/mod.bin
- /data/data/####/monster.xml
- /data/data/####/monster10_atk.ogg
- /data/data/####/monster2_atk.ogg
- /data/data/####/monster2_die.ogg
- /data/data/####/monster2_skill.ogg
- /data/data/####/monster3_fireball.ogg
- /data/data/####/monster4_atk.ogg
- /data/data/####/monster4_die.ogg
- /data/data/####/monster4_skill.ogg
- /data/data/####/monster6_atk.ogg
- /data/data/####/monster6_die.ogg
- /data/data/####/monster6_fireball.ogg
- /data/data/####/monster7_atk.ogg
- /data/data/####/monster7_die.ogg
- /data/data/####/monster8_atk.ogg
- /data/data/####/monster8_die.ogg
- /data/data/####/monster8_skill.ogg
- /data/data/####/monster9_atk_a.ogg
- /data/data/####/monster9_atk_b.ogg
- /data/data/####/monster9_atk_c.ogg
- /data/data/####/monster9_die.ogg
- /data/data/####/monster9_skill1.ogg
- /data/data/####/monster9_skill2.ogg
- /data/data/####/msg.xml
- /data/data/####/music.ogg
- /data/data/####/newhead.png
- /data/data/####/num_level.png
- /data/data/####/onsaleshopbg.png
- /data/data/####/onsaleshoptitle.png
- /data/data/####/panle_white.png
- /data/data/####/peckgold.png
- /data/data/####/peckgold_btn.png
- /data/data/####/peckgold_btn2.png
- /data/data/####/pickupcoin.ogg
- /data/data/####/pid
- /data/data/####/pref_file.xml
- /data/data/####/proc_auxv
- /data/data/####/qy_db_pay-journal
- /data/data/####/red.fsh
- /data/data/####/reset.fsh
- /data/data/####/revive.csb
- /data/data/####/revive_0.csb
- /data/data/####/role1_a1.ogg
- /data/data/####/role1_a2.ogg
- /data/data/####/role1_a3.ogg
- /data/data/####/role1_a4.ogg
- /data/data/####/role1_a5.ogg
- /data/data/####/role1_die.ogg
- /data/data/####/role1_skill1_a.ogg
- /data/data/####/role1_skill1_b.ogg
- /data/data/####/role1_skill2.ogg
- /data/data/####/role1_skill3.ogg
- /data/data/####/role1_skill4.ogg
- /data/data/####/role2_a1.ogg
- /data/data/####/role2_a2.ogg
- /data/data/####/role2_a3.ogg
- /data/data/####/role2_a4.ogg
- /data/data/####/role2_die.ogg
- /data/data/####/role2_skill1.ogg
- /data/data/####/role2_skill2_a.ogg
- /data/data/####/role2_skill2_b.ogg
- /data/data/####/role2_skill3_a.ogg
- /data/data/####/role2_skill3_b.ogg
- /data/data/####/role2_skill4_a.ogg
- /data/data/####/role2_skill4_b.ogg
- /data/data/####/role_add.png
- /data/data/####/role_black_alpha.png
- /data/data/####/role_roleBanner.png
- /data/data/####/role_star_black.png
- /data/data/####/role_star_red.png
- /data/data/####/s8.png
- /data/data/####/s9.jpg
- /data/data/####/satp.bin
- /data/data/####/scn0.bin
- /data/data/####/scn1.bin
- /data/data/####/scn10.bin
- /data/data/####/scn11.bin
- /data/data/####/scn12.bin
- /data/data/####/scn13.bin
- /data/data/####/scn14.bin
- /data/data/####/scn15.bin
- /data/data/####/scn16.bin
- /data/data/####/scn17.bin
- /data/data/####/scn18.bin
- /data/data/####/scn19.bin
- /data/data/####/scn2.bin
- /data/data/####/scn20.bin
- /data/data/####/scn3.bin
- /data/data/####/scn4.bin
- /data/data/####/scn5.bin
- /data/data/####/scn6.bin
- /data/data/####/scn7.bin
- /data/data/####/scn8.bin
- /data/data/####/scn9.bin
- /data/data/####/sdk.xml
- /data/data/####/section_boss.png
- /data/data/####/section_normal.png
- /data/data/####/section_tower.png
- /data/data/####/select_background.png
- /data/data/####/shop.xml
- /data/data/####/skeleton.atlas
- /data/data/####/skeleton.json
- /data/data/####/skeleton.png
- /data/data/####/skeleton2.png
- /data/data/####/star1.png
- /data/data/####/str.bin
- /data/data/####/task.bin
- /data/data/####/td_pefercen_profile.xml
- /data/data/####/tdid.xml
- /data/data/####/teaching.csb
- /data/data/####/title.xml
- /data/data/####/ttext.bin
- /data/data/####/ui0.bin
- /data/data/####/ui1.bin
- /data/data/####/ui_chuzhen_jingyan5.png
- /data/data/####/ui_shuzi.png
- /data/data/####/ui_shuzi2.png
- /data/data/####/ui_yongbing2.png
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_general_config.xml.bak
- /data/data/####/umeng_it.cache
- /data/data/####/unknown.xml
- /data/data/####/upgradeitem.ogg
- /data/data/####/utext0.bin
- /data/data/####/utext1.bin
- /data/data/####/win.ogg
- /data/data/####/yd_arrow.png
- /data/data/####/yd_coner.png
- /data/data/####/yuanjingsan_2.png
- /data/data/####/yuanjingsan_6.png
- /data/data/####/yuanjingsan_7.png
- /data/data/####/zhongjingsan_10.png
- /data/data/####/zhongjingsan_11.png
- /data/data/####/zhongjingsan_3.png
- /data/data/####/zhongjingsan_6.png
- /data/data/####/zhongjingsan_7.png
- /data/data/####/zhongjingsan_8.png
- /data/data/####/zhongjingsan_9.png
- /data/data/####/zhongjingta.png
- /data/data/####/zhongjingwujian_1.png
- /data/data/####/zhongjingwujian_2.png
- /data/media/####/.tcookieid
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
Другие:
Запускает следующие shell-скрипты:
- /system/lib/arm/houdini /data/user/0/<Package>/files/_zx_lib/helper /data/user/0/<Package>/files/_zx_lib/helper <Package>/com.google.android.gms.analytics.CampaignTrackingService
- app_process /system/bin com.android.commands.am.Am startservice --user 0 -n <Package>/com.google.android.gms.analytics.CampaignTrackingService
- cat /sys/block/mmcblk0/device/cid
- cd <Package Folder>
- chmod 777 /data/user/0/<Package>/files/_zx_lib/helper
- dd if=/data/user/0/<Package>/files/_zx_lib/libhelper.so of=/data/user/0/<Package>/files/_zx_lib/helper
- ls -l /system/bin/su
- ps | grep <Package>
- sh
Загружает динамические библиотеки:
- libcocos2dcpp
- libhelper
- libsmsmanager
- libt5a21ehtbsyp3l5m
- libzxvps
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- DES-ECB-NoPadding
Осуществляет доступ к приватному интерфейсу ITelephony.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из SMS.
Получает информацию об отправленых/принятых SMS.
Запрашивает разрешение на отображение системных уведомлений.
