Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Triada.236.origin
- Android.Triada.366.origin
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/FZ200DL
- /data/data/####/Pdd.dex
- /data/data/####/Pdd.dex.flock (deleted)
- /data/data/####/abc.xml
- /data/data/####/baidu
- /data/data/####/base.dex
- /data/data/####/base.dex.flock (deleted)
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/config.properties
- /data/data/####/getprop
- /data/data/####/gq.ExportJson
- /data/data/####/gq0.plist
- /data/data/####/gq0.png
- /data/data/####/helper
- /data/data/####/j_1.ExportJson
- /data/data/####/j_10.plist
- /data/data/####/j_10.png
- /data/data/####/libgame.so
- /data/data/####/libhelper.so
- /data/data/####/libsmsmanager.so
- /data/data/####/libzxvps.so
- /data/data/####/lizi_1.plist
- /data/data/####/pid
- /data/data/####/proc_auxv
- /data/data/####/qpip.ywljv.erczo.ZZZ_0104
- /data/data/####/qy_db_pay-journal
- /data/data/####/tiao.ExportJson
- /data/data/####/tiao0.plist
- /data/data/####/tiao0.png
- /data/data/####/tiao1.plist
- /data/data/####/tiao1.png
- /data/data/####/tiao2.plist
- /data/data/####/tiao2.png
- /data/data/####/tiao3.plist
- /data/data/####/tiao3.png
- /data/data/####/tiaotiaolizi1.plist
- /data/data/####/tiaotiaolizi2.plist
- /data/data/####/tiaotiaotietu1.png
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/unknown.xml
- /data/data/####/wau5z5mb48e7x3ft.dex
- /data/data/####/wau5z5mb48e7x3ft.dex.flock (deleted)
- /data/media/####/device
Другие:
Запускает следующие shell-скрипты:
- /system/lib/arm/houdini /data/user/0/<Package>/files/_zx_lib/helper /data/user/0/<Package>/files/_zx_lib/helper <Package>/com.google.android.gms.analytics.CampaignTrackingService
- app_process /system/bin com.android.commands.am.Am startservice --user 0 -n <Package>/com.google.android.gms.analytics.CampaignTrackingService
- cat /sys/block/mmcblk0/device/cid
- cd <Package Folder>
- chmod 777 /data/user/0/<Package>/files/_zx_lib/helper
- dd if=/data/user/0/<Package>/files/_zx_lib/libhelper.so of=/data/user/0/<Package>/files/_zx_lib/helper
- getprop
- ls -l /system/bin/su
- ps | grep <Package>
- rm -f <Package Folder>/files/wau5z5mb48e7x3ft.dex
- sh
Загружает динамические библиотеки:
- libgame
- libhelper
- libm7zxsfqynylrjbqe
- libsmsmanager
- libzxvps
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS7Padding
- DES-ECB-NoPadding
Осуществляет доступ к приватному интерфейсу ITelephony.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
Получает информацию об отправленых/принятых SMS.
Запрашивает разрешение на отображение системных уведомлений.
