Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Adware.Dowgin.3.origin
- Android.DownLoader.540.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) npb.n####.ji####.fm:80
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) www.eas####.com.####.com:80
- TCP(HTTP/1.1) a1.eas####.com:80
- TCP(HTTP/1.1) npb.ug####.ji####.fm:80
- TCP(HTTP/1.1) m.ji####.fm:80
- TCP(HTTP/1.1) i####.jiecaoj####.com:80
- TCP(HTTP/1.1) a####.m.ta####.com:80
- TCP(TLS/1.0) c####.im.ta####.com:443
- TCP(TLS/1.0) u####.ji####.fm:443
- TCP(TLS/1.0) regi####.xm####.xi####.com:443
- TCP(TLS/1.0) i####.ww.ta####.com:443
- TCP(TLS/1.0) api####.zhu####.com:443
Запросы DNS:
- a####.m.ta####.com
- a####.u####.com
- a1.eas####.com
- api####.zhu####.com
- bi.ji.bj####.com
- c####.im.ta####.com
- i####.jiecaoj####.com
- i####.ww.ta####.com
- m.ji####.fm
- npb.n####.ji####.fm
- npb.ug####.ji####.fm
- regi####.xm####.xi####.com
- u####.ji####.fm
- www.eas####.com
Запросы HTTP GET:
- i####.jiecaoj####.com/2017/01/18/43/0caeec07-0b4f-45a4-af07-b0446d53afb2...
- i####.jiecaoj####.com/2017/03/03/23/4de68b13-503c-4563-aa84-006b16839aab...
- i####.jiecaoj####.com/2017/04/12/0/929ed70b-f037-4829-87e3-916b6874a411....
- i####.jiecaoj####.com/2017/10/10/12/52d3711d-6c0e-44bf-9016-1d7ab570e5b4...
- i####.jiecaoj####.com/2017/7/25/caojieicon.jpeg
- i####.jiecaoj####.com/2018/01/11/7/b890d188-a540-40bf-ab46-de8ac1c0b028....
- i####.jiecaoj####.com/2018/01/15/38/f787b747-9de8-458c-9699-e6340c85821c...
- i####.jiecaoj####.com/2018/01/19/47/e7f7912f-8bdf-4cf9-9d7e-7403d4eab163...
- m.ji####.fm/jump/v2?channel=####&platform=####&edition=####&version=####
- npb.n####.ji####.fm/client/headline/list.pb?version=####
- npb.n####.ji####.fm/jcnews/detail_app.html
- npb.ug####.ji####.fm/comments/moment/O5X7MDmY?last_id=####&size=####
- npb.ug####.ji####.fm/moments/O5X7MDmY
- npb.ug####.ji####.fm/moments/fugcnum
- npb.ug####.ji####.fm/topic/ls?version=####
- www.eas####.com.####.com/easemob/server.xml?sdk_version=####&app_key=###...
Запросы HTTP POST:
- a####.m.ta####.com/rest/gc?dd=####&nsgs=####&ak=####&av=####&c=####&v=##...
- a####.m.ta####.com/rest/sur?ak=####&av=####&c=####&v=####&s=####&d=####&...
- a####.u####.com/app_logs
- a1.eas####.com/jiecaofm/jiecaofm/devices
- npb.n####.ji####.fm//client/update/app.pb?type=####&version=####
- npb.n####.ji####.fm/client/ad/v2/list.pb
- npb.n####.ji####.fm/client/msg/num.pb
- npb.ug####.ji####.fm/events/art/start/O5X7MDmY
- npb.ug####.ji####.fm/events/art/stop/O5X7MDmY
- npb.ug####.ji####.fm/moments/followLatest
- npb.ug####.ji####.fm/moments/hottest?version=####
- npb.ug####.ji####.fm/moments/latest
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/cache/####/-14363781961114305775
- <Package Folder>/cache/####/-1436378196172717013
- <Package Folder>/cache/####/-3887460951667049511
- <Package Folder>/cache/####/-964145146513969324
- <Package Folder>/cache/####/1169453748175470862
- <Package Folder>/cache/####/486876832-73339911
- <Package Folder>/cache/####/523087869-1332430834
- <Package Folder>/cache/####/5c94900fa6e466eae65fdbced0c80cd0.0.tmp
- <Package Folder>/cache/####/5c94900fa6e466eae65fdbced0c80cd0.1.tmp
- <Package Folder>/cache/####/9b52612988e3941f8285d7b18f320a61.0.tmp
- <Package Folder>/cache/####/9b52612988e3941f8285d7b18f320a61.1.tmp
- <Package Folder>/cache/####/a74db9d8b75d135ea8c34f8097814a6e.0.tmp
- <Package Folder>/cache/####/a74db9d8b75d135ea8c34f8097814a6e.1.tmp
- <Package Folder>/cache/####/b067c837bb8be7ecd967f204b5398d77.0.tmp
- <Package Folder>/cache/####/b067c837bb8be7ecd967f204b5398d77.1.tmp
- <Package Folder>/cache/####/b11842ae3a7a4ace49685324ef557e1e.0.tmp
- <Package Folder>/cache/####/b11842ae3a7a4ace49685324ef557e1e.1.tmp
- <Package Folder>/cache/####/ba5202720471327bc5d32934c1766d92.0.tmp
- <Package Folder>/cache/####/ba5202720471327bc5d32934c1766d92.1.tmp
- <Package Folder>/cache/####/f957a338f93afa70558c22db02114f6d.0.tmp
- <Package Folder>/cache/####/f957a338f93afa70558c22db02114f6d.1.tmp
- <Package Folder>/cache/####/fa451b6bb9c59df1bf2b31a22214ca9c.0.tmp
- <Package Folder>/cache/####/fa451b6bb9c59df1bf2b31a22214ca9c.1.tmp
- <Package Folder>/cache/####/journal.tmp
- <Package Folder>/code_cache/####/<Package>-1.apk.classes904544492.zip
- <Package Folder>/databases/db_default_job_manager-journal
- <Package Folder>/databases/jiecao_news.db-journal
- <Package Folder>/databases/webview.db-journal
- <Package Folder>/databases/webviewCookiesChromium.db-journal
- <Package Folder>/databases/webviewCookiesChromiumPrivate.db-journal
- <Package Folder>/databases/zhuge
- <Package Folder>/databases/zhuge-journal
- <Package Folder>/files/####/CommonPlugin-1.0.apk
- <Package Folder>/files/####/FrameworkPlugin-1.0.apk
- <Package Folder>/files/####/HandWallPlugin-1.0.apk
- <Package Folder>/files/####/exchangeIdentity.json
- <Package Folder>/files/####/wv_web_info.dat
- <Package Folder>/files/.imprint
- <Package Folder>/files/com.vijcg.gams.dex (deleted)
- <Package Folder>/files/com.vijcg.gams.jar
- <Package Folder>/files/comfayorc.jar
- <Package Folder>/files/mobclick_agent_cached_<Package>500
- <Package Folder>/files/sp.lock
- <Package Folder>/files/umeng_it.cache
- <Package Folder>/shared_prefs/<Package>_preferences.xml
- <Package Folder>/shared_prefs/<Package>ad5b45b868a245fe87eaf01c...24.xml
- <Package Folder>/shared_prefs/Alvin2.xml
- <Package Folder>/shared_prefs/ContextData.xml
- <Package Folder>/shared_prefs/HAWK.xml
- <Package Folder>/shared_prefs/UTCommon.xml
- <Package Folder>/shared_prefs/UTMCConf-2001146164.xml
- <Package Folder>/shared_prefs/UTMCLog-2001146164.xml
- <Package Folder>/shared_prefs/_w-2001146164.xml
- <Package Folder>/shared_prefs/cd247d1b.xml
- <Package Folder>/shared_prefs/device_id.xml.xml
- <Package Folder>/shared_prefs/easemob.sdk.pref.xml
- <Package Folder>/shared_prefs/jiecao_account.xml
- <Package Folder>/shared_prefs/mipush.xml
- <Package Folder>/shared_prefs/mipush_extra.xml
- <Package Folder>/shared_prefs/multidex.version.xml
- <Package Folder>/shared_prefs/prefs_name.xml
- <Package Folder>/shared_prefs/umeng_general_config.xml
- <Package Folder>/shared_prefs/ywPrefsTools.xml
- <SD-Card>/.DataStorage/ContextData.xml
- <SD-Card>/.UTSystemConfig/####/Alvin2.xml
- <SD-Card>/.com.taobao.dp/6c709c11d2d46a7b
- <SD-Card>/.com.taobao.dp/dd7893586a493dc3
- <SD-Card>/Android/####/000.html
- <SD-Card>/Android/####/0631d7b70bea1a5eb5f1d623bddea5cb.0
- <SD-Card>/Android/####/2966ac67526babf5524bef5ae3f7552a.0
- <SD-Card>/Android/####/e69c51b5fa99691789a83a4d925c4d59.0
- <SD-Card>/Android/####/journal
- <SD-Card>/Android/####/journal.tmp
- <SD-Card>/emlibs/####/monitor.db
- <SD-Card>/emlibs/####/monitor.db-journal
Другие:
Запускает следующие shell-скрипты:
- cat /proc/cpuinfo | grep Serial
- ls -l /system/xbin/su
Загружает динамические библиотеки:
- easemobservice
- ijkffmpeg
- ijkplayer
- ijksdl
- securitysdk-3.1
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-ECB-PKCS5Padding
- DES
Использует следующие алгоритмы для расшифровки данных:
- AES-ECB-PKCS5Padding
- DES
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о зарегистрированных на устройстве аккаунтах (Google, Facebook и тд.).
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
