Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Backdoor.564.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) loc.map.b####.com:80
- TCP(TLS/1.0) api.map.b####.com:443
Запросы DNS:
- 7d9816d####.bug####.com
- a####.u####.com
- api.map.b####.com
- black####.w####.com
- d####.opensp####.cn
- ga####.lotu####.com
- h####.opensp####.cn
- loc.map.b####.com
- mo####.w####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
- wjz.w####.com
Запросы HTTP POST:
- loc.map.b####.com/sdk.php
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/.jiagu/libjiagu.so
- <Package Folder>/app_tbs/####/core_info
- <Package Folder>/cache/####/journal.tmp
- <Package Folder>/databases/cc.db
- <Package Folder>/databases/cc.db-journal
- <Package Folder>/databases/lib.point-journal
- <Package Folder>/databases/monitor.db
- <Package Folder>/databases/monitor.db-journal
- <Package Folder>/databases/pushsdk.db-journal
- <Package Folder>/databases/ua.db
- <Package Folder>/databases/ua.db-journal
- <Package Folder>/databases/wjzdb-journal
- <Package Folder>/files/####/.jg.ic
- <Package Folder>/files/####/exchangeIdentity.json
- <Package Folder>/files/####/firll.dat
- <Package Folder>/files/####/hst.db
- <Package Folder>/files/####/hst.db-journal
- <Package Folder>/files/cpugpuinfo
- <Package Folder>/files/exid.dat
- <Package Folder>/files/init.pid
- <Package Folder>/files/init_c1.pid
- <Package Folder>/files/libcuid.so
- <Package Folder>/files/lotuseed.apps
- <Package Folder>/files/lotuseed.lock
- <Package Folder>/files/lotuseed.s
- <Package Folder>/files/lotuseed.task
- <Package Folder>/files/push.pid
- <Package Folder>/files/run.pid
- <Package Folder>/files/umeng_it.cache
- <Package Folder>/shared_prefs/<Package>_preferences.xml
- <Package Folder>/shared_prefs/Alvin2.xml
- <Package Folder>/shared_prefs/ContextData.xml
- <Package Folder>/shared_prefs/app_preferences.xml
- <Package Folder>/shared_prefs/app_setting.xml
- <Package Folder>/shared_prefs/authStatus_<Package>.xml
- <Package Folder>/shared_prefs/authStatus_<Package>;deamon.xml
- <Package Folder>/shared_prefs/authStatus_<Package>;pushservice.xml
- <Package Folder>/shared_prefs/authStatus_<Package>;remote.xml
- <Package Folder>/shared_prefs/com.iflytek.id.xml
- <Package Folder>/shared_prefs/com.iflytek.msc.xml
- <Package Folder>/shared_prefs/getui_sp.xml
- <Package Folder>/shared_prefs/ifly_launch_lib.xml
- <Package Folder>/shared_prefs/iflytek_state_<Package>.xml
- <Package Folder>/shared_prefs/lotuseed_global.xml
- <Package Folder>/shared_prefs/lotuseed_main.xml
- <Package Folder>/shared_prefs/multidex.version.xml
- <Package Folder>/shared_prefs/umeng_general_config.xml
- <Package Folder>/shared_prefs/userinfo_filename.xml
- <SD-Card>/.DataStorage/ContextData.xml
- <SD-Card>/.UTSystemConfig/####/Alvin2.xml
- <SD-Card>/.system/lotuseed.devid
- <SD-Card>/Android/####/.nomedia
- <SD-Card>/Android/####/1eculln5i5md1he915wtq17gf.0.tmp
- <SD-Card>/Android/####/2gu29p259m95xakjmtbrgbt8r.0.tmp
- <SD-Card>/Android/####/46fx4lughhs7j9f8rexhuwx9l.0.tmp
- <SD-Card>/Android/####/48ynte60dg0pmy34wpqj3v496.0.tmp
- <SD-Card>/Android/####/565sf29h66h9dxcteim7xygai.0.tmp
- <SD-Card>/Android/####/5mrulxox50jsjydnl0viqdkrw.0.tmp
- <SD-Card>/Android/####/6l170n2pmvhvfc4dz2904b953.0.tmp
- <SD-Card>/Android/####/6v0wle1ktxxo7k7u2i7m2i45f.0.tmp
- <SD-Card>/Android/####/journal
- <SD-Card>/Android/####/journal.tmp
- <SD-Card>/Android/####/sj6czsgk7x49pv7s3htzjnwk.0.tmp
- <SD-Card>/Android/.SDCardSerialNumber
- <SD-Card>/backups/####/.cuid
- <SD-Card>/backups/####/.cuid2
- <SD-Card>/baidu/####/yoh.dat
- <SD-Card>/baidu/####/yol.dat
- <SD-Card>/baidu/####/yom.dat
- <SD-Card>/iflyworkdir_test
- <SD-Card>/libs/<Package>.bin
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- ps
Загружает динамические библиотеки:
- BaiduMapSDK_base_v4_2_1
- Bugtags
- getuiext2
- libjiagu
- locSDK7a
- msc
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
