Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.2083
- Android.DownLoader.546.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(GCM) <Google Host>
- TCP(HTTP/1.1) av####.ge####.com:80
- TCP(HTTP/1.1) ws.ge####.com:80
- TCP(HTTP/1.1) a.appj####.com:80
- TCP(HTTP/1.1) pic.ge####.com:80
Запросы DNS:
- a.appj####.com
- av####.ge####.com
- pic.ge####.com
- ws.ge####.com
Запросы HTTP GET:
- pic.ge####.com/accounts/profile/
- pic.ge####.com/api/2/ch/popular/
- pic.ge####.com/api/2/ch/popular/902937/
- pic.ge####.com/api/3/cm/2/event/feed/947456/
- pic.ge####.com/api/3/follow/feed/
- pic.ge####.com/api/3/pic/57861/comment/0/
- pic.ge####.com/api/follow/400404/
- pic.ge####.com/api/user/400404/
- pic.ge####.com/avatar/150/a_399441_1502261186447.jpg/
- pic.ge####.com/avatar/150/a_399833_1504276374881.jpg/
- pic.ge####.com/avatar/150/a_399928_1504776067600.jpg/
- pic.ge####.com/avatar/150/a_400012_1505190363707.jpg/
- pic.ge####.com/avatar/150/a_400054_1505367988282.jpg/
- pic.ge####.com/avatar/150/a_400132_1505656358056.jpg/
- pic.ge####.com/avatar/150/a_400230_1506131652709.jpg/
- pic.ge####.com/avatar/150/a_400373_1506858476252.jpg/
- pic.ge####.com/avatar/150/a_8_1373526370973.jpg/
- pic.ge####.com/pic/150/p106169_1506194898361.jpg/
- pic.ge####.com/pic/150/p140394_1505437129757.jpg/
- pic.ge####.com/pic/150/p140394_1506674072515.jpg/
- pic.ge####.com/pic/150/p140394_1506688058247.jpg/
- pic.ge####.com/pic/150/p140394_1506742284552.jpg/
- pic.ge####.com/pic/150/p158984_1505471132005.jpg/
- pic.ge####.com/pic/150/p158984_1505551746597.jpg/
- pic.ge####.com/pic/150/p158984_1505582097303.jpg/
- pic.ge####.com/pic/150/p158984_1505652574599.jpg/
- pic.ge####.com/pic/150/p158984_1505799988370.jpg/
- pic.ge####.com/pic/150/p158984_1506850815006.jpg/
- pic.ge####.com/pic/150/p158984_1506936409751.jpg/
- pic.ge####.com/pic/150/p32445_1505314531903.jpg/
- pic.ge####.com/pic/150/p32445_1505314607916.jpg/
- pic.ge####.com/pic/150/p32445_1505472153192.jpg/
- pic.ge####.com/pic/150/p32445_1505476219358.jpg/
- pic.ge####.com/pic/150/p32445_1505901445819.jpg/
- pic.ge####.com/pic/150/p32445_1506307927021.jpg/
- pic.ge####.com/pic/150/p32445_1506783155206.jpg/
- pic.ge####.com/pic/150/p32445_1506783190009.jpg/
- pic.ge####.com/pic/150/p3_1505872144593.jpg/
- pic.ge####.com/pic/150/p49708_1505551309816.jpg/
- pic.ge####.com/pic/150/p49708_1505551404698.jpg/
- pic.ge####.com/pic/150/p49708_1505652592466.jpg/
- pic.ge####.com/pic/150/p49708_1506355303051.jpg/
- pic.ge####.com/pic/150/p49708_1506850610455.jpg/
- pic.ge####.com/pic/150/p49708_1506852526648.jpg/
- pic.ge####.com/pic/612/p8_1379386706646.jpg/
Запросы HTTP POST:
- a.appj####.com/ad-service/ad/mark
- a.appj####.com/jiagu/check/upgrade
- pic.ge####.com/api/accuse/
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/.jiagu/libjiagu.so
- <Package Folder>/app_jgls/.log.lock
- <Package Folder>/app_jgls/.log.ls
- <Package Folder>/app_sx/<Package>.odex
- <Package Folder>/app_sx/<Package>.zip
- <Package Folder>/databases/db_public-journal
- <Package Folder>/databases/picamera.db-journal
- <Package Folder>/files/####/.jg.ic
- <Package Folder>/shared_prefs/CookiePrefsFile.xml
- <Package Folder>/shared_prefs/app_sp_v2.xml
- <Package Folder>/shared_prefs/app_sp_v2.xml.bak
- <Package Folder>/shared_prefs/jg_app_update_settings_random.xml
- <Package Folder>/shared_prefs/qihoo_jiagu_crash_report.xml
- <Package Folder>/shared_prefs/service_info_file.xml
- <Package Folder>/shared_prefs/service_info_file.xml.bak
- <SD-Card>/Android/####/.nomedia
- <SD-Card>/Android/####/07a6f0e307a141cc364943589b9f57c7.0.tmp
- <SD-Card>/Android/####/0d4c1ee97fd052086b9d330430d2e31f.0.tmp (deleted)
- <SD-Card>/Android/####/1397dd4f39d2586d526eea1bc7e6fe54.0.tmp
- <SD-Card>/Android/####/183da1b09e564e33d9e715fb1d188b80.0.tmp (deleted)
- <SD-Card>/Android/####/18a824dbe15930431266d6ede334bb20.0.tmp
- <SD-Card>/Android/####/28587ad4a62b9786932395176b56604f.0.tmp
- <SD-Card>/Android/####/2ce952330a41298d677f0ce6f6842920.0.tmp
- <SD-Card>/Android/####/2db38049ffbf27bbdfef4e2184261321.0.tmp
- <SD-Card>/Android/####/3f3b5952a1c2ac7535c8df9b274aa739.0.tmp
- <SD-Card>/Android/####/3fc935d7c68865318c5986edaeb02dd7.0.tmp
- <SD-Card>/Android/####/4b8550c6d27c513a76b4fa8ed3131f9b.0.tmp
- <SD-Card>/Android/####/5cce6d394f428ccdcf0938a766dd16ca.0.tmp
- <SD-Card>/Android/####/5f842a1b861f91901df45577a30d2ff7.0.tmp
- <SD-Card>/Android/####/6797f7f6ebbbc429416cc580b9e87594.0.tmp
- <SD-Card>/Android/####/6b3cca6cebb16372f992d60c7ad254bd.0.tmp
- <SD-Card>/Android/####/6dafb6eff8049ad0595dc1fa5a2094bb.0.tmp
- <SD-Card>/Android/####/6fdea1f5fe035c2a2ea8ce1a2f37ea4d.0.tmp
- <SD-Card>/Android/####/747ad0faab9c65b5ab687d3aa65a2b7f.0.tmp
- <SD-Card>/Android/####/787fb4e5ccd1eefa3f90d0d8ad58fcc0.0.tmp
- <SD-Card>/Android/####/817e4220f9feaed7df579c4dd9455b0c.0.tmp
- <SD-Card>/Android/####/91cb739d5fc11b3af532cb771589e52d.0.tmp
- <SD-Card>/Android/####/9c1f7d9d0a0f0c4d5763a04de57bf62b.0.tmp (deleted)
- <SD-Card>/Android/####/ae21e8fce23fed2a9851c28a84c7f268.0.tmp
- <SD-Card>/Android/####/b06a155ae1e4b58008fdbb71366fe558.0.tmp
- <SD-Card>/Android/####/b749717cc9fc090b9f35ea92fdc135bb.0.tmp
- <SD-Card>/Android/####/c2872c69e56789a358f2458dd101932d.0.tmp
- <SD-Card>/Android/####/ca30d1279e250f7b0b21c7a9e88e652f.0.tmp
- <SD-Card>/Android/####/cbe63e8d21538a443b37a112296e1e07.0.tmp (deleted)
- <SD-Card>/Android/####/cd27231e1c2ddf0741eff3379407c3c1.0.tmp
- <SD-Card>/Android/####/cf61b8e2029f8bddb985edec3ee62bf2.0.tmp
- <SD-Card>/Android/####/d7bcc6bde7df07a6f2c95e3f180ea509.0.tmp
- <SD-Card>/Android/####/def7ba1faf47eea302a4867bb067c610.0.tmp
- <SD-Card>/Android/####/e0d5fe7796a273c17ea7bb5cf693a183.0.tmp
- <SD-Card>/Android/####/e8d1175be6f594f838d18ef2e48779a5.0.tmp
- <SD-Card>/Android/####/e9aa7273a15ef540946b34c6891cf174.0.tmp
- <SD-Card>/Android/####/error.log
- <SD-Card>/Android/####/f515c73b48b25094b6e5f1ff288fad41.0.tmp
- <SD-Card>/Android/####/f6bccb94d878759eef8c4f52aaf3a310.0.tmp
- <SD-Card>/Android/####/fd326455c58c62f88423a914ad29f59b.0.tmp
- <SD-Card>/Android/####/feed
- <SD-Card>/Android/####/ffe854f5486ab81e277f23c344610e66.0.tmp
- <SD-Card>/Android/####/journal
- <SD-Card>/Android/####/journal.tmp
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
Загружает динамические библиотеки:
- jpegpi
- libjiagu
- pijni
- piutil
Использует следующие алгоритмы для расшифровки данных:
- AES-ECB-PKCS5Padding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к интерфейсу камеры.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
