Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Backdoor.433.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) loc.map.b####.com:80
Запросы DNS:
- ads####.2####.com
- c.appj####.com
- loc.map.b####.com
- p.aozi####.com
- p.shuyua####.com
- zsted####.1####.gd.cn
Запросы HTTP POST:
- loc.map.b####.com/sdk.php
Изменения в файловой системе:
Создает следующие файлы:
- /data/anr/traces.txt
- <Package Folder>/.jiagu/libjiagu.so
- <Package Folder>/app_dex/secondary_dex.jar
- <Package Folder>/app_dex/worker.jar
- <Package Folder>/app_outdex/secondary_dex.dex
- <Package Folder>/app_outdex/worker.dex
- <Package Folder>/cache/####/data_0
- <Package Folder>/cache/####/data_1
- <Package Folder>/cache/####/data_2
- <Package Folder>/cache/####/data_3
- <Package Folder>/cache/####/index
- <Package Folder>/databases/Turtle.cip
- <Package Folder>/databases/Turtle.cip-journal
- <Package Folder>/databases/action.db
- <Package Folder>/databases/action.db-journal
- <Package Folder>/databases/slientask.db
- <Package Folder>/databases/slientask.db-journal
- <Package Folder>/databases/webview.db
- <Package Folder>/databases/webview.db-journal
- <Package Folder>/databases/webviewCookiesChromium.db
- <Package Folder>/databases/webviewCookiesChromium.db-journal
- <Package Folder>/files/####/.jg.ic
- <Package Folder>/files/rchwaf
- <Package Folder>/files/traceroute
- <Package Folder>/shared_prefs/CDCLogs.xml
- <Package Folder>/shared_prefs/SILENTS_COMMON_DATA.xml
- <Package Folder>/shared_prefs/ad_show_time.xml
- <Package Folder>/shared_prefs/bids.xml
- <Package Folder>/shared_prefs/jg_app_update_settings_random.xml
- <Package Folder>/shared_prefs/qihoo_jiagu_crash_report.xml
- <SD-Card>/CDCLogs/20171025.txt
- <SD-Card>/baidu/####/ls.db
- <SD-Card>/baidu/####/ls.db-journal
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- logcat -c -b radio -b events -b system -b main
- logcat -v time -b radio -b events -b system
Загружает динамические библиотеки:
- libjiagu
- locSDK3
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации о настроках APN.
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Осуществляет доступ к информации о входящих/исходящих звонках.
