Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.589.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony)
Сетевая активность:
Подключается к:
- a####.####.com
- api####.####.com
- d####.####.com
- n-####.####.tv
Запросы HTTP GET:
- d####.####.com//topicContentImage/f2/50/f250c698eb96e3e5b3788a6d0cc005b7...
- n-####.####.tv/api/v2/misc/update?sig_time=####
Запросы HTTP POST:
- a####.####.com/app_logs
- api####.####.com/v3/log/init
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/.jiagu/libjiagu.so
- <Package Folder>/app_825d28cb-d366-4294-9bfd-6d15b98c3610/checker
- <Package Folder>/cache/####/-360828429-828435385
- <Package Folder>/cache/####/-360828429-830429465
- <Package Folder>/cache/####/-360828441-2073950526
- <Package Folder>/cache/####/-360828441-2075944502
- <Package Folder>/cache/####/1699220694106448436
- <Package Folder>/cache/####/1699220694108442387
- <Package Folder>/cache/album_home.cache
- <Package Folder>/databases/db_qiaqia-journal
- <Package Folder>/databases/t_u.db-journal
- <Package Folder>/files/####/.jg.ic
- <Package Folder>/files/.imprint
- <Package Folder>/files/gi.jar
- <Package Folder>/files/mobclick_agent_cached_<Package>46
- <Package Folder>/files/py.jar
- <Package Folder>/files/umeng_it.cache
- <Package Folder>/files/yf.jar
- <Package Folder>/shared_prefs/cn.jpush.serverconfig.xml
- <Package Folder>/shared_prefs/kr.xml
- <Package Folder>/shared_prefs/kr.xml.bak
- <Package Folder>/shared_prefs/last_know_location.xml
- <Package Folder>/shared_prefs/lz.xml
- <Package Folder>/shared_prefs/mobclick_agent_online_setting_<Package>.xml
- <Package Folder>/shared_prefs/multidex.version.xml
- <Package Folder>/shared_prefs/qihoo_jiagu_crash_report.xml
- <Package Folder>/shared_prefs/sv.xml
- <Package Folder>/shared_prefs/tv.qiaqia.xml.xml
- <Package Folder>/shared_prefs/umeng_general_config.xml
- <Package Folder>/shared_prefs/umeng_general_config.xml.bak
- <SD-Card>/Android/####/.nomedia
- <SD-Card>/Android/####/V2.8.7.txt
- <SD-Card>/Android/####/journal
- <SD-Card>/Android/####/journal.tmp
Другие:
Запускает следующие shell-скрипты:
- chmod 755 /data/data/com.xcgihgjoghjk.sdfrtsusdj/.jiagu/libjiagu.so
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
Загружает динамические библиотеки:
- jpush174
- libjiagu
Использует следующие алгоритмы для шифрования данных:
- AES-ECB-PKCS5Padding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- DES
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации
Осуществляет доступ к информации о сети
Осуществляет доступ к информации о телефоне (номер, imei и тд.)
Осуществляет доступ к информации о запущенных приложениях
Отрисовывает собственные окна поверх других приложений
