Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.589.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(GCM) <Google Host>
- TCP(HTTP/1.1) 52.52.2####.56:80
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) s.wagbr####.alibaba####.com:80
- TCP(HTTP/1.1) go.hotw####.top:80
- TCP(HTTP/1.1) oc.u####.com:80
- TCP(HTTP/1.1) a.appj####.com:80
- TCP(HTTP/1.1) 1####.76.224.67:80
- TCP(HTTP/1.1) loc.map.b####.com:80
- TCP(HTTP/1.1) cdnyxzf####.b0.a####.com:80
- TCP(HTTP/1.1) cdn.game####.org:80
Запросы DNS:
- a####.u####.com
- a.appj####.com
- au.u####.com
- cdn.app.kac####.cn
- cdn.game####.org
- fb.u####.com
- go.hotw####.top
- loc.map.b####.com
- oc.u####.com
Запросы HTTP GET:
- cdn.game####.org/strategy/base
- cdn.game####.org/strategy/dev_root2
- cdn.game####.org/strategy/loss_4.3
- cdn.game####.org/strategy/sul18
Запросы HTTP POST:
- a.appj####.com/ad-service/ad/mark
- a.appj####.com/jiagu/check/upgrade
- go.hotw####.top/jzbdt/cva/vmfxa/sict
- go.hotw####.top/jzbdt/kupye/wsr
- go.hotw####.top/jzbdt/o/zc
- go.hotw####.top/jzbdt/tuk/ng/ey
- go.hotw####.top/jzbdt/wx/gq
- go.hotw####.top/jzbdt/z/c
- go.hotw####.top/sdf/gb
- loc.map.b####.com/sdk.php
- oc.u####.com/check_config_update
- s.wagbr####.alibaba####.com/api/check_app_update
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/.jiagu/libjiagu.so
- <Package Folder>/app_4deecf66-e89e-4d63-8b23-ad5717028d65/Matrix
- <Package Folder>/app_4deecf66-e89e-4d63-8b23-ad5717028d65/ddexe
- <Package Folder>/app_4deecf66-e89e-4d63-8b23-ad5717028d65/debuggerd
- <Package Folder>/app_4deecf66-e89e-4d63-8b23-ad5717028d65/fileWork
- <Package Folder>/app_4deecf66-e89e-4d63-8b23-ad5717028d65/insta...ery.sh
- <Package Folder>/app_4deecf66-e89e-4d63-8b23-ad5717028d65/pidof
- <Package Folder>/app_4deecf66-e89e-4d63-8b23-ad5717028d65/su
- <Package Folder>/app_4deecf66-e89e-4d63-8b23-ad5717028d65/supolicy
- <Package Folder>/app_4deecf66-e89e-4d63-8b23-ad5717028d65/toolbox
- <Package Folder>/app_4deecf66-e89e-4d63-8b23-ad5717028d65/wsroot.sh
- <Package Folder>/app_ab7441c4-8a8b-4c45-b95d-cd8f85a8d03a/checker.jar
- <Package Folder>/app_b913e5ef-969d-4633-9e88-3c0eaf36aa5a/Matrix
- <Package Folder>/app_b913e5ef-969d-4633-9e88-3c0eaf36aa5a/ddexe
- <Package Folder>/app_b913e5ef-969d-4633-9e88-3c0eaf36aa5a/debuggerd
- <Package Folder>/app_b913e5ef-969d-4633-9e88-3c0eaf36aa5a/device.db
- <Package Folder>/app_b913e5ef-969d-4633-9e88-3c0eaf36aa5a/fileWork
- <Package Folder>/app_b913e5ef-969d-4633-9e88-3c0eaf36aa5a/insta...ery.sh
- <Package Folder>/app_b913e5ef-969d-4633-9e88-3c0eaf36aa5a/pidof
- <Package Folder>/app_b913e5ef-969d-4633-9e88-3c0eaf36aa5a/root3
- <Package Folder>/app_b913e5ef-969d-4633-9e88-3c0eaf36aa5a/su
- <Package Folder>/app_b913e5ef-969d-4633-9e88-3c0eaf36aa5a/supolicy
- <Package Folder>/app_b913e5ef-969d-4633-9e88-3c0eaf36aa5a/toolbox
- <Package Folder>/app_b913e5ef-969d-4633-9e88-3c0eaf36aa5a/wsroot.sh
- <Package Folder>/app_d0f4cb2e-ca0e-4d8f-8c6e-dd08895b2bfc/checker.jar
- <Package Folder>/app_jgls/.log.lock
- <Package Folder>/app_jgls/.log.ls
- <Package Folder>/app_plugin_download/3230be55-d065-463d-ae59-edd636458666
- <Package Folder>/app_plugin_download/b35048ff-4a59-4d6b-ab74-81d1e9c5f556
- <Package Folder>/app_plugin_download/ed47aa41-9a9c-4802-95b6-d811c612b54b
- <Package Folder>/app_plugin_download/f2f34506-0474-4982-81e0-a00272b14102
- <Package Folder>/app_subox/1740c449fc10be62df60ba0f18696c9f
- <Package Folder>/app_subox/32edd79a240b5f1e461d069caab1ec3e
- <Package Folder>/app_subox_download/287a22d9-f5bf-4b69-9929-b1366079586a
- <Package Folder>/app_subox_download/7f74c3a4-9168-4bf8-9466-7f9979292e52
- <Package Folder>/app_subox_download/aef94206-ba29-42eb-b08c-51f46c30134e
- <Package Folder>/app_subox_download/f10881ae-75f9-4f18-9516-caa1ae21c9a7
- <Package Folder>/databases/t_u.db-journal
- <Package Folder>/files/####/.jg.ic
- <Package Folder>/files/####/firll.dat
- <Package Folder>/files/.imprint
- <Package Folder>/files/SUBOXLOG_
- <Package Folder>/files/fz.jar
- <Package Folder>/files/mobclick_agent_cached_<Package>4
- <Package Folder>/files/pq.jar
- <Package Folder>/files/pw.jar
- <Package Folder>/files/sz.jar
- <Package Folder>/files/umeng_it.cache
- <Package Folder>/shared_prefs/Alvin2.xml
- <Package Folder>/shared_prefs/AppStore.xml
- <Package Folder>/shared_prefs/AppStore.xml.bak
- <Package Folder>/shared_prefs/AppStore.xml.bak (deleted)
- <Package Folder>/shared_prefs/ContextData.xml
- <Package Folder>/shared_prefs/jg_app_update_settings_random.xml
- <Package Folder>/shared_prefs/kr.xml
- <Package Folder>/shared_prefs/kr.xml.bak
- <Package Folder>/shared_prefs/mobclick_agent_online_setting_<Pa...ml.bak
- <Package Folder>/shared_prefs/mobclick_agent_online_setting_<Package>.xml
- <Package Folder>/shared_prefs/qihoo_jiagu_crash_report.xml
- <Package Folder>/shared_prefs/qsb.xml
- <Package Folder>/shared_prefs/sfe.xml
- <Package Folder>/shared_prefs/sfe.xml.bak
- <Package Folder>/shared_prefs/subox.xml
- <Package Folder>/shared_prefs/umeng_feedback_conversations.xml
- <Package Folder>/shared_prefs/umeng_feedback_user_info.xml
- <Package Folder>/shared_prefs/umeng_feedback_user_info.xml.bak
- <Package Folder>/shared_prefs/umeng_general_config.xml
- <Package Folder>/shared_prefs/umeng_general_config.xml.bak
- <Package Folder>/shared_prefs/umeng_message_state.xml
- <Package Folder>/shared_prefs/wv.xml
- <Package Folder>/shared_prefs/wv.xml.bak
- <SD-Card>/.DataStorage/ContextData.xml
- <SD-Card>/.UTSystemConfig/####/Alvin2.xml
- <SD-Card>/Android/####/V2.8.3.txt
- <SD-Card>/baidu/####/conlts.dat
- <SD-Card>/baidu/####/ls.db
- <SD-Card>/baidu/####/ls.db-journal
- <SD-Card>/baidu/####/yoh.dat
- <SD-Card>/baidu/####/yol.dat
- <SD-Card>/baidu/####/yom.dat
- <SD-Card>/baidu/.cuid
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- chmod 777 Matrix ddexe debuggerd device.db fileWork install-recovery.sh pidof root3 su supolicy toolbox wsroot.sh
- chmod 777 Matrix ddexe debuggerd fileWork install-recovery.sh pidof su supolicy toolbox wsroot.sh
- sh
Загружает динамические библиотеки:
- _tp124
- bspatch
- libjiagu
- locSDK4d
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- DES
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации о настроках APN.
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
