Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Xiny.224.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) cds-gat####.av####.com:80
- TCP(TLS/1.0) api.face####.com:443
- TCP(TLS/1.0) 1####.217.17.110:443
- TCP(TLS/1.0) googl####.g.doublec####.net:443
Запросы DNS:
- a.appj####.com
- c.appj####.com
- cds-gat####.av####.com
- g####.face####.com
- googl####.g.doublec####.net
- m####.z####.cn
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/.jiagu/libjiagu.so
- <Package Folder>/cache/####/data_0
- <Package Folder>/cache/####/data_1
- <Package Folder>/cache/####/data_2
- <Package Folder>/cache/####/data_3
- <Package Folder>/cache/####/f_000001
- <Package Folder>/cache/####/index
- <Package Folder>/cache/####/journal.tmp
- <Package Folder>/cache/1470286953684.dex
- <Package Folder>/cache/1470286953684.jar
- <Package Folder>/cache/1470286953684.tmp
- <Package Folder>/cache/ApplicationCache.db-journal
- <Package Folder>/databases/####/https_googleads.g.doubleclick.n...ournal
- <Package Folder>/databases/google_app_measurement_local.db
- <Package Folder>/databases/google_app_measurement_local.db-journal
- <Package Folder>/databases/webview.db-journal
- <Package Folder>/databases/webviewCookiesChromium.db-journal
- <Package Folder>/files/####/.alpha-beta
- <Package Folder>/files/####/.jg.ic
- <Package Folder>/files/AppEventsLogger.persistedevents
- <Package Folder>/no_backup/com.google.android.gms.appid-no-backup
- <Package Folder>/shared_prefs/<Package>_preferences.xml
- <Package Folder>/shared_prefs/Foundation.xml
- <Package Folder>/shared_prefs/FoundationMigrated.xml
- <Package Folder>/shared_prefs/ad_show_time.xml
- <Package Folder>/shared_prefs/adb_foundation_auth_aes_preference.xml
- <Package Folder>/shared_prefs/com.aviary.android.feather.standalone.xml
- <Package Folder>/shared_prefs/com.facebook.internal.preferences...GS.xml
- <Package Folder>/shared_prefs/com.facebook.sdk.appEventPreferences.xml
- <Package Folder>/shared_prefs/com.facebook.sdk.attributionTracking.xml
- <Package Folder>/shared_prefs/com.google.android.gms.appid.xml
- <Package Folder>/shared_prefs/com.google.android.gms.measurement.prefs.xml
- <Package Folder>/shared_prefs/jg_app_update_settings_random.xml
- <Package Folder>/shared_prefs/multidex.version.xml
- <SD-Card>/Sketch_Master/Sketch_Master_1513780872015.jpg
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
Загружает динамические библиотеки:
- aviary_native2
- encoders
- libjiagu
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
