Technical information
Malicious functions:
Executes code of the following detected threats:
- Android.RemoteCode.907
Network activity:
Connects to:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) i89####.net:8888
- TCP(TLS/1.0) 1####.217.17.142:443
DNS requests:
- i89####.net
HTTP GET requests:
- i89####.net:8888/catfee/time.do
File system changes:
Creates the following files:
- /data/data/####/.edata
- /data/data/####/classes.dex
- /data/data/####/classes.dve
- /data/data/####/classes.jar
- /data/data/####/com.SecShell.tmp2289
- /data/data/####/com.SecShell.tmp2319
- /data/data/####/com.SecShell.tmp2347
- /data/data/####/com.SecShell.tmp2386
- /data/data/####/com.SecShell.tmp2414
- /data/data/####/com.SecShell.tmp2442
- /data/data/####/com.SecShell.tmp2480
- /data/data/####/com.SecShell.tmp2508
- /data/data/####/com.SecShell.tmp2536
- /data/data/####/com.SecShell.tmp2577
- /data/data/####/com.SecShell.tmp2607
- /data/data/####/com.SecShell.tmp2636
- /data/data/####/com.SecShell.tmp2677
- /data/data/####/com.SecShell.tmp2707
- /data/data/####/com.SecShell.tmp2736
- /data/data/####/com.SecShell.tmp2775
- /data/data/####/com.SecShell.tmp2805
- /data/data/####/com.SecShell.tmp2838
- /data/data/####/com.SecShell.tmp2880
- /data/data/####/com.SecShell.tmp2909
- /data/data/####/com.SecShell.tmp2938
- /data/data/####/com.SecShell.tmp2975
- /data/data/####/com.SecShell.tmp3005
- /data/data/####/com.SecShell.tmp3032
- /data/data/####/com.SecShell.tmp3060
- /data/data/####/com.SecShell.tmp3089
- /data/data/####/com.SecShell.tmp3118
- /data/data/####/com.SecShell.tmp3157
- /data/data/####/com.SecShell.tmp3187
- /data/data/####/com.SecShell.tmp3216
- /data/data/####/com.SecShell.tmp3257
- /data/data/####/com.SecShell.tmp3286
- /data/data/####/com.SecShell.tmp3315
- /data/data/####/com.SecShell.tmp3353
- /data/data/####/com.SecShell.tmp3382
- /data/data/####/com.SecShell.tmp3409
- /data/data/####/com.SecShell.tmp3450
- /data/data/####/com.SecShell.tmp3479
- /data/data/####/com.SecShell.tmp3506
- /data/data/####/com.SecShell.tmp3536
- /data/data/####/com.SecShell.tmp3565
- /data/data/####/com.SecShell.tmp3594
- /data/data/####/com.SecShell.tmp3634
- /data/data/####/com.SecShell.tmp3662
- /data/data/####/com.SecShell.tmp3691
- /data/data/####/com.SecShell.tmp3730
- /data/data/####/com.SecShell.tmp3760
- /data/data/####/com.SecShell.tmp3788
- /data/data/####/com.SecShell.tmp3827
- /data/data/####/com.SecShell.tmp3856
- /data/data/####/com.SecShell.tmp3883
- /data/data/####/com.SecShell.tmp3925
- /data/data/####/com.SecShell.tmp3954 (deleted)
- /data/data/####/com.SecShell.tmp3981
- /data/data/####/com.SecShell.tmp4010
- /data/data/####/com.SecShell.tmp4039
- /data/data/####/com.SecShell.tmp4068
- /data/data/####/com.SecShell.tmp4107
- /data/data/####/com.SecShell.tmp4136
- /data/data/####/com.SecShell.tmp4165
- /data/data/####/com.SecShell.tmp4204
- /data/data/####/com.SecShell.tmp4231
- /data/data/####/com.SecShell.tmp4259
- /data/data/####/com.SecShell.tmp4319
- /data/data/####/com.SecShell.tmp4349
- /data/data/####/game_data.db-journal
- /data/data/####/webview.db-journal
Miscellaneous:
Loads the following dynamic libraries:
- SecShell
- shunpay
Uses special library to hide executable bytecode.
Gets information about phone status (number, IMEI, etc.).
