Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.589.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(GCM) <Google Host>
- TCP(HTTP/1.1) 52.52.2####.56:80
- TCP(HTTP/1.1) go.hotw####.top:80
- TCP(HTTP/1.1) cdnappl####.b0.a####.com:80
- TCP(HTTP/1.1) cdnimgl####.b0.a####.com:80
- TCP(HTTP/1.1) a.appj####.com:80
- TCP(HTTP/1.1) 1####.76.224.67:80
- TCP(HTTP/1.1) cdnyxzf####.b0.a####.com:80
- TCP(HTTP/1.1) cdn.game####.org:80
- TCP(TLS/1.0) ssl.google-####.com:443
Запросы DNS:
- a.appj####.com
- cdn.app.kac####.cn
- cdn.app.qqy####.cn
- cdn.game####.org
- cdn.img.qqy####.cn
- go.hotw####.top
- ssl.google-####.com
Запросы HTTP GET:
- cdn.game####.org/strategy/base
- cdn.game####.org/strategy/loss_4.3
- cdn.game####.org/strategy/sul18
Запросы HTTP POST:
- a.appj####.com/ad-service/ad/mark
- go.hotw####.top/hadat/ausjy/u
- go.hotw####.top/hadat/f/ra
- go.hotw####.top/hadat/hbel/s
- go.hotw####.top/hadat/mfwn/oh
- go.hotw####.top/hadat/ojseu/ilcx
- go.hotw####.top/hadat/q/at
- go.hotw####.top/hadat/scmy/u
- go.hotw####.top/hadat/sljq/iqpdt
- go.hotw####.top/jzbdt/ckpz/go
- go.hotw####.top/jzbdt/k/tshe/wnm
- go.hotw####.top/jzbdt/kdu/lqvb/xchf
- go.hotw####.top/jzbdt/r/b/nkaos
- go.hotw####.top/jzbdt/vafl/hmrb
- go.hotw####.top/jzbdt/xwuk/odprp
- go.hotw####.top/jzbdt/zdzf/ax
- go.hotw####.top/sdf/ysnrl
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/.jiagu/libjiagu.so
- <Package Folder>/app_0d69d4d4-6794-43b5-abd3-712f5dd9ce0c/checker.jar
- <Package Folder>/app_1c0d78b1-53f9-4367-b6d6-ca751415d007/Matrix
- <Package Folder>/app_1c0d78b1-53f9-4367-b6d6-ca751415d007/ddexe
- <Package Folder>/app_1c0d78b1-53f9-4367-b6d6-ca751415d007/debuggerd
- <Package Folder>/app_1c0d78b1-53f9-4367-b6d6-ca751415d007/fileWork
- <Package Folder>/app_1c0d78b1-53f9-4367-b6d6-ca751415d007/insta...ery.sh
- <Package Folder>/app_1c0d78b1-53f9-4367-b6d6-ca751415d007/pidof
- <Package Folder>/app_1c0d78b1-53f9-4367-b6d6-ca751415d007/su
- <Package Folder>/app_1c0d78b1-53f9-4367-b6d6-ca751415d007/supolicy
- <Package Folder>/app_1c0d78b1-53f9-4367-b6d6-ca751415d007/toolbox
- <Package Folder>/app_1c0d78b1-53f9-4367-b6d6-ca751415d007/wsroot.sh
- <Package Folder>/app_jgls/.log.lock
- <Package Folder>/app_jgls/.log.ls
- <Package Folder>/app_plugin_download/3eceaedc-016e-4b06-9755-64b485a1ec5d
- <Package Folder>/app_plugin_download/624c2cec-252b-419f-b487-42fcfb3e3d1b
- <Package Folder>/app_subox/32edd79a240b5f1e461d069caab1ec3e
- <Package Folder>/app_subox_download/59fb3188-17bf-466f-bbca-b1169337d6c8
- <Package Folder>/app_subox_download/a3dfbffe-eb8a-4d88-a432-867bdf56795d
- <Package Folder>/app_subox_download/c816d617-0267-464e-8bee-b921acab1bc2
- <Package Folder>/databases/google_analytics_v2.db-journal
- <Package Folder>/databases/t_u.db-journal
- <Package Folder>/files/####/.jg.ic
- <Package Folder>/files/SUBOXLOG_
- <Package Folder>/files/gaClientId
- <Package Folder>/files/qx.jar
- <Package Folder>/files/tv.jar
- <Package Folder>/files/vf.jar
- <Package Folder>/shared_prefs/Global.xml
- <Package Folder>/shared_prefs/SevenMins.xml
- <Package Folder>/shared_prefs/desk.xml
- <Package Folder>/shared_prefs/dsi.xml
- <Package Folder>/shared_prefs/jg_app_update_settings_random.xml
- <Package Folder>/shared_prefs/kr.xml
- <Package Folder>/shared_prefs/kr.xml.bak
- <Package Folder>/shared_prefs/sfe.xml
- <Package Folder>/shared_prefs/sfe.xml.bak
- <Package Folder>/shared_prefs/subox.xml
- <Package Folder>/shared_prefs/wv.xml
- <Package Folder>/shared_prefs/wv.xml.bak
- <SD-Card>/Android/####/11eb3a76f20fe7048cf9cd25341246ab.apk
- <SD-Card>/Android/####/2f62050d0c33e
- <SD-Card>/Android/####/964d5bad28460
- <SD-Card>/Android/####/V2.8.2.txt
- <SD-Card>/Android/####/b.tmp
- <SD-Card>/Android/####/cd958625d8684e1c0021778017193099.apk
- <SD-Card>/Android/####/ea188fa8493cf
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- chmod 777 /storage/emulated/0/Android/data/<Package>/files/Download/Android/azb/11eb3a76f20fe7048cf9cd25341246ab.apk
- chmod 777 /storage/emulated/0/Android/data/<Package>/files/Download/Android/azb/cd958625d8684e1c0021778017193099.apk
- chmod 777 Matrix ddexe debuggerd fileWork install-recovery.sh pidof su supolicy toolbox wsroot.sh
- sh
Загружает динамические библиотеки:
- _wjjy735
- libjiagu
Использует следующие алгоритмы для расшифровки данных:
- DES
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
