Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.589.origin
Сетевая активность:
Подключается к:
- c####.####.com
- di####.com
- di####.com:5681
Запросы HTTP GET:
- di####.com/version/check?fromId=####&updateVersionTime=####&model=####&p...
- di####.com:5681/checkIpStatus?fromId=####&model=####&packageName=####&as...
Запросы HTTP POST:
- c####.####.com/ad/splash/stats.html
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/.jiagu/libjiagu.so
- <Package Folder>/app_551b5cd6-fcf6-4414-9175-8d7f2f7a25ff/checker
- <Package Folder>/cache/####/-1892616974-217093535
- <Package Folder>/cache/####/-616185389404033311
- <Package Folder>/cache/####/179652509-217093535
- <Package Folder>/cache/####/564792776-162498877
- <Package Folder>/cache/####/846780104356821557
- <Package Folder>/databases/####/cc.db
- <Package Folder>/databases/####/cc.db-journal
- <Package Folder>/databases/hremote.db
- <Package Folder>/databases/hremote.db-journal
- <Package Folder>/databases/t_u.db-journal
- <Package Folder>/databases/tcclick_b.db
- <Package Folder>/databases/tcclick_b.db-journal
- <Package Folder>/files/####/.jg.ic
- <Package Folder>/files/####/CERT.RSA
- <Package Folder>/files/####/CERT.SF
- <Package Folder>/files/####/MANIFEST.MF
- <Package Folder>/files/####/activity_main.xml
- <Package Folder>/files/####/ic_launcher.png
- <Package Folder>/files/####/libluajava.so
- <Package Folder>/files/20170727082013.gz
- <Package Folder>/files/20170727082013.txt
- <Package Folder>/files/AndroidManifest.xml
- <Package Folder>/files/bm
- <Package Folder>/files/classes.dex
- <Package Folder>/files/dexchk
- <Package Folder>/files/df
- <Package Folder>/files/fk.jar
- <Package Folder>/files/gcgdd
- <Package Folder>/files/gleac.jar
- <Package Folder>/files/googlegs
- <Package Folder>/files/googlesq
- <Package Folder>/files/googleuz
- <Package Folder>/files/ip.jar
- <Package Folder>/files/mobclick_agent_cached_<Package>663
- <Package Folder>/files/resources.arsc
- <Package Folder>/files/rfg
- <Package Folder>/files/rfgh.apk
- <Package Folder>/files/scrcore
- <Package Folder>/shared_prefs/ad_show_time.xml
- <Package Folder>/shared_prefs/hremote.xml
- <Package Folder>/shared_prefs/hremote_setting.xml
- <Package Folder>/shared_prefs/isFirstStart.xml
- <Package Folder>/shared_prefs/jg_app_update_settings_random.xml
- <Package Folder>/shared_prefs/kr.xml
- <Package Folder>/shared_prefs/kr.xml.bak
- <Package Folder>/shared_prefs/lz.xml
- <Package Folder>/shared_prefs/sp_save.xml
- <Package Folder>/shared_prefs/sv.xml
- <Package Folder>/shared_prefs/tcclick.preferences.xml
- <Package Folder>/shared_prefs/umeng_general_config.xml
- <Package Folder>/shared_prefs/umeng_general_config.xml.bak
- <SD-Card>/.tcclick.udid
- <SD-Card>/Android/####/V2.8.7.txt
Другие:
Запускает следующие shell-скрипты:
- chmod 755 /data/data/com.ktykj.sjktykq.dsaf/.jiagu/libjiagu.so
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- chmod 777 /data/data/com.ktykj.sjktykq.dsaf/files/.jglogs
- chmod 777 /data/data/com.ktykj.sjktykq.dsaf/files/.um
- chmod 777 /data/data/com.ktykj.sjktykq.dsaf/files/AndroidManifest.xml
- chmod 777 /data/data/com.ktykj.sjktykq.dsaf/files/META-INF
- chmod 777 /data/data/com.ktykj.sjktykq.dsaf/files/assets
- chmod 777 /data/data/com.ktykj.sjktykq.dsaf/files/bm
- chmod 777 /data/data/com.ktykj.sjktykq.dsaf/files/classes.dex
- chmod 777 /data/data/com.ktykj.sjktykq.dsaf/files/dexchk
- chmod 777 /data/data/com.ktykj.sjktykq.dsaf/files/df
- chmod 777 /data/data/com.ktykj.sjktykq.dsaf/files/gcgdd
- chmod 777 /data/data/com.ktykj.sjktykq.dsaf/files/gleac.jar
- chmod 777 /data/data/com.ktykj.sjktykq.dsaf/files/googlegs
- chmod 777 /data/data/com.ktykj.sjktykq.dsaf/files/googlesq
- chmod 777 /data/data/com.ktykj.sjktykq.dsaf/files/googleuz
- chmod 777 /data/data/com.ktykj.sjktykq.dsaf/files/lib
- chmod 777 /data/data/com.ktykj.sjktykq.dsaf/files/mobclick_agent_cached_com.ktykj.sjktykq.dsaf663
- chmod 777 /data/data/com.ktykj.sjktykq.dsaf/files/res
- chmod 777 /data/data/com.ktykj.sjktykq.dsaf/files/resources.arsc
- chmod 777 /data/data/com.ktykj.sjktykq.dsaf/files/rfg
- chmod 777 /data/data/com.ktykj.sjktykq.dsaf/files/rfgh.apk
- chmod 777 /data/data/com.ktykj.sjktykq.dsaf/files/scrcore
- chmod 777 <Package Folder>/files/.jglogs
- chmod 777 <Package Folder>/files/.um
- chmod 777 <Package Folder>/files/AndroidManifest.xml
- chmod 777 <Package Folder>/files/META-INF
- chmod 777 <Package Folder>/files/assets
- chmod 777 <Package Folder>/files/bm
- chmod 777 <Package Folder>/files/classes.dex
- chmod 777 <Package Folder>/files/dexchk
- chmod 777 <Package Folder>/files/df
- chmod 777 <Package Folder>/files/gcgdd
- chmod 777 <Package Folder>/files/gleac.jar
- chmod 777 <Package Folder>/files/googlegs
- chmod 777 <Package Folder>/files/googlesq
- chmod 777 <Package Folder>/files/googleuz
- chmod 777 <Package Folder>/files/lib
- chmod 777 <Package Folder>/files/mobclick_agent_cached_<Package>663
- chmod 777 <Package Folder>/files/res
- chmod 777 <Package Folder>/files/resources.arsc
- chmod 777 <Package Folder>/files/rfg
- chmod 777 <Package Folder>/files/rfgh.apk
- chmod 777 <Package Folder>/files/scrcore
- getprop ro.build.version.sdk
- getprop ro.product.brand
- getprop ro.product.device
- getprop ro.product.model
Загружает динамические библиотеки:
- audioeffect_jni
- libjiagu
- remote
Использует следующие алгоритмы для шифрования данных:
- RSA
Использует следующие алгоритмы для расшифровки данных:
- DES
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о сети
Осуществляет доступ к информации о телефоне (номер, imei и тд.)
Осуществляет доступ к информации о запущенных приложениях
Отрисовывает собственные окна поверх других приложений
