Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Tool.SilentInstaller.3.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(GCM) <Google Host>
- TCP(HTTP/1.1) d####.opensp####.cn:80
- TCP(HTTP/1.1) h####.opensp####.cn:80
- TCP(TLS/1.0) api.map.b####.com:443
- TCP(TLS/1.0) s####.j####.cn:443
- TCP(TLS/1.0) zg.10####.net.cn:443
- TCP 1####.198.189.149:7006
- TCP 1####.196.118.4:7000
- UDP s.j####.cn:19000
Запросы DNS:
- api.map.b####.com
- d####.opensp####.cn
- h####.opensp####.cn
- s####.j####.cn
- s.j####.cn
- zg.10####.net.cn
Запросы HTTP GET:
- h####.opensp####.cn/launchconfig?t=####&p=YWxsZ####
Запросы HTTP POST:
- d####.opensp####.cn/index.php/clientrequest/clientcollect/isCollect
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/.jiagu/libjiagu.so
- <Package Folder>/databases/####/cc.db
- <Package Folder>/databases/####/cc.db-journal
- <Package Folder>/databases/baimiWallet
- <Package Folder>/databases/baimiWallet-journal
- <Package Folder>/databases/jpush_local_notification.db
- <Package Folder>/databases/jpush_local_notification.db-journal
- <Package Folder>/databases/jpush_statistics.db
- <Package Folder>/databases/jpush_statistics.db-journal
- <Package Folder>/databases/webview.db-journal
- <Package Folder>/files/####/.jg.ic
- <Package Folder>/files/appPackageNames
- <Package Folder>/files/jpush_stat_cache_history.json
- <Package Folder>/files/libcuid.so
- <Package Folder>/files/mobclick_agent_cached_<Package>25
- <Package Folder>/shared_prefs/authStatus_<Package>.pushtest.xml
- <Package Folder>/shared_prefs/authStatus_<Package>.xml
- <Package Folder>/shared_prefs/cn.jpush.android.user.profile.xml
- <Package Folder>/shared_prefs/cn.jpush.preferences.v2.xml
- <Package Folder>/shared_prefs/cn.jpush.preferences.v2.xml (deleted)
- <Package Folder>/shared_prefs/cn.jpush.preferences.v2.xml.bak
- <Package Folder>/shared_prefs/com.iflytek.id.xml
- <Package Folder>/shared_prefs/com.iflytek.msc.xml
- <Package Folder>/shared_prefs/ifly_launch_lib.xml
- <Package Folder>/shared_prefs/iflytek_state_<Package>.xml
- <Package Folder>/shared_prefs/jpush_device_info.xml
- <Package Folder>/shared_prefs/multidex.version.xml
- <Package Folder>/shared_prefs/umeng_general_config.xml
- <Package Folder>/shared_prefs/wallet.xml
- <SD-Card>/100msh/####/1143146714.tmp
- <SD-Card>/backups/####/.cuid
- <SD-Card>/backups/####/.cuid2
- <SD-Card>/data/.push_deviceid
- <SD-Card>/iflyworkdir_test
- <SD-Card>/wallet/####/launch_ad_img.png
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
Загружает динамические библиотеки:
- BaiduMapSDK_base_v3_7_3
- jcore110
- libjiagu
- msc
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-ECB-PKCS7Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-ECB-NoPadding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
