Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Backdoor.433.origin
- Android.Backdoor.433.origin
Загружает из Интернета следующие детектируемые угрозы:
- Android.Backdoor.433.origin
- Android.Backdoor.433.origin
Сетевая активность:
Подключается к:
- a####.####.com
- c####.####.com
- p####.####.com
- p####.####.com:6088
- st####.####.com
- w####.####.mobi
Запросы HTTP GET:
- c####.####.com/jsSHA/2.2.0/sha256.js
- c####.####.com/s?v####
- p####.####.com/c/1496212844746
- st####.####.com/qyl/web/js/utils-8d43376d98.js
- w####.####.mobi//images/loan/logo20170522150944.png
Запросы HTTP POST:
- a####.####.com/ad-service/ad/mark
- a####.####.com/app_logs
- p####.####.com:6088/s/
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/.jiagu/libjiagu.so
- <Package Folder>/app_jgls/.log.lock
- <Package Folder>/app_jgls/.log.ls
- <Package Folder>/app_uwmalo/2A0D5D59E31F9720744C4D095E0E34CB.jar
- <Package Folder>/cache/####/data_0
- <Package Folder>/cache/####/data_1
- <Package Folder>/cache/####/data_2
- <Package Folder>/cache/####/data_3
- <Package Folder>/cache/####/f_000001
- <Package Folder>/cache/####/index
- <Package Folder>/databases/cc.db
- <Package Folder>/databases/cc.db-journal
- <Package Folder>/databases/ua.db
- <Package Folder>/databases/ua.db-journal
- <Package Folder>/databases/webview.db-journal
- <Package Folder>/databases/webviewCookiesChromium.db-journal
- <Package Folder>/databases/webviewCookiesChromium.db-journal (deleted)
- <Package Folder>/files/####/.jg.ic
- <Package Folder>/files/####/exchangeIdentity.json
- <Package Folder>/files/.imprint
- <Package Folder>/files/exid.dat
- <Package Folder>/files/ivzzyr
- <Package Folder>/files/umeng_it.cache
- <Package Folder>/shared_prefs/jg_app_update_settings_random.xml
- <Package Folder>/shared_prefs/umeng_general_config.xml
- <SD-Card>/Android/####/-1008634064.tmp
- <SD-Card>/Android/####/-1010324701
- <SD-Card>/Android/####/-1010324701.tmp
- <SD-Card>/Android/####/-1198740108.tmp
- <SD-Card>/Android/####/-1226384458.tmp
- <SD-Card>/Android/####/-1229938433.tmp
- <SD-Card>/Android/####/-128325286.tmp
- <SD-Card>/Android/####/-1852231695.tmp
- <SD-Card>/Android/####/-285683741.tmp
- <SD-Card>/Android/####/-574997292.tmp
- <SD-Card>/Android/####/-658297356.tmp
- <SD-Card>/Android/####/.nomedia
- <SD-Card>/Android/####/1197507139.tmp
- <SD-Card>/Android/####/adv
- <SD-Card>/Android/####/config
- <SD-Card>/Android/####/deviceId
- <SD-Card>/Android/####/master
- <SD-Card>/Android/####/master.lock
- <SD-Card>/Android/####/sys_install
Другие:
Запускает следующие shell-скрипты:
- <dexopt>
- chmod 755 /data/data/mobi.woyaoloan/.jiagu/libjiagu.so
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
Использует специальную библиотеку для скрытия исполняемого байткода.
