Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Xiny.20
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) c####.im.qq.com:80
- TCP(HTTP/1.1) i####.17k.com:80
- TCP(HTTP/1.1) t.si####.net:80
- TCP(HTTP/1.1) 2####.243.193.48:80
- TCP(HTTP/1.1) f.xingch####.com.####.com:80
- TCP(HTTP/1.1) cl####.17k.com:80
- TCP(HTTP/1.1) cli####.17k.com:80
Запросы DNS:
- c####.im.qq.com
- cl####.17k.com
- cli####.17k.com
- f.xingch####.com
- i####.17k.com
- mt####.go####.com
- t.si####.net
Запросы HTTP GET:
- c####.im.qq.com/cgi-bin/cgi_svrtime
- cl####.17k.com/client/android/update.conf?device_info=####
- cli####.17k.com/rest/bookintroduction/getBookByid?bookId=####&device_inf...
- cli####.17k.com/rest/category/getBookcategoryList?type=####&device_info=...
- cli####.17k.com/rest/category/getCategoryBookList?channelId=####&offset=...
- cli####.17k.com/rest/category/getCategoryBookList?offset=####&count=####...
- cli####.17k.com/rest/client/getClientBookCityList?count=####&type=####&d...
- cli####.17k.com/rest/client/getClientBoutiqueList?count=####&device_info...
- cli####.17k.com/rest/client/getClientSpecialList?count=####&device_info=...
- cli####.17k.com/rest/comment/getBookcomtListBybid?bookId=####&offset=###...
- cli####.17k.com/rest/download/downChapterV2?chapterId=####&tokenId=####&...
- cli####.17k.com/rest/download/getBookVolumeSimpleListBybid?bookId=####&t...
- f.xingch####.com.####.com/201712/ae83-a4cae9ec7c4b.jar
- i####.17k.com/channel/qita/1_446704.jpg
- i####.17k.com/channel/qita/417239.jpg
- i####.17k.com/channel/qita/681223.jpg
- i####.17k.com/channel/qita/870118.jpg
- i####.17k.com/channel/qita/feichai1.jpg
- i####.17k.com/images/bookcover/2012/320/1/64141_2.jpg
- i####.17k.com/images/bookcover/2012/446/2/89359_2.jpg
- i####.17k.com/images/bookcover/2012/462/2/92570_2.jpg
- i####.17k.com/images/bookcover/2012/510/2/102060_2.jpg
- i####.17k.com/images/bookcover/2012/548/2/109666_2.jpg
- i####.17k.com/images/bookcover/2012/594/2/118949_2.jpg
- i####.17k.com/images/bookcover/2012/624/3/124827_2.jpg
- i####.17k.com/images/bookcover/2012/769/3/153917_2.jpg
- i####.17k.com/images/bookcover/2012/962/4/192453_2.jpg
- i####.17k.com/images/bookcover/2013/1660/8/332013-1357194113000_2.jpg
- i####.17k.com/images/bookcover/2013/2338/11/467707-1359681358000_2.jpg
- i####.17k.com/images/bookcover/2013/2448/12/489705-1362391945000_2.jpg
- i####.17k.com/images/bookcover/2013/2466/12/493239-1364709925000_2.jpg
- i####.17k.com/images/bookcover/2013/2621/13/524383-1366977340000_2.jpg
- i####.17k.com/images/bookcover/2013/3254/16/650846-1387243184000_2.jpg
- i####.17k.com/images/bookcover/2013/3288/16/657701-1387374884000_2.jpg
- i####.17k.com/images/bookcover/2013/3360/16/672155-1382374131000_2.jpg
- i####.17k.com/images/bookcover/2013/3499/17/699844-1385001083000_2.jpg
- i####.17k.com/images/bookcover/2013/3521/17/704296-1387449220000_2.jpg
- i####.17k.com/images/bookcover/2013/3535/17/707166-1385342791000_2.jpg
- i####.17k.com/images/bookcover/2014/3162/15/632503-1388559204000_2.jpg
- i####.17k.com/images/bookcover/2014/3265/16/653170-1397864062000_2.jpg
- i####.17k.com/images/bookcover/2014/3917/19/783466-1396885162000_2.jpg
- i####.17k.com/images/bookcover/2014/4393/21/878632-1401616555000_2.jpg
- i####.17k.com/images/bookcover/2016/9214/46/1842826-1461909643000_2.jpg
- i####.17k.com/images/bookcover/2016/9529/47/1905890-1471267761000_2.jpg
- i####.17k.com/images/bookcover/2017/485/2/97132-1513769063000_2.jpg
- i####.17k.com/images/bookcover/2017/609/3/121999-1489597041000_2.jpg
- i####.17k.com/images/bookcover/2017/6385/31/1277035-1497658751000.jpg
- i####.17k.com/images/bookcover/2017/6385/31/1277035-1497658751000_2.jpg
- i####.17k.com/images/bookcovernull
Запросы HTTP POST:
- t.si####.net/t1?requestId=####&g=####&ua=####
- t.si####.net/t2
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/.jiagu/libjiagu.so
- <Package Folder>/databases/17KDB.db-journal
- <Package Folder>/databases/books.db-journal
- <Package Folder>/databases/config.db-journal
- <Package Folder>/databases/downloadswc
- <Package Folder>/databases/downloadswc-journal
- <Package Folder>/databases/webview.db-journal
- <Package Folder>/files/####/.jg.ic
- <Package Folder>/files/mobclick_agent_cached_<Package>
- <Package Folder>/shared_prefs/17kAppPrefs.xml
- <Package Folder>/shared_prefs/17kAppPrefs.xml.bak
- <Package Folder>/shared_prefs/<Package>_preferences.xml
- <Package Folder>/shared_prefs/W_Key.xml
- <Package Folder>/shared_prefs/jg_so_upgrade_setting.xml
- <Package Folder>/shared_prefs/mobclick_agent_header_<Package>.xml
- <Package Folder>/shared_prefs/mobclick_agent_state_<Package>.xml
- <Package Folder>/shared_prefs/readsettings.xml
- <Package Folder>/shared_prefs/st.xml
- <Package Folder>/shared_prefs/xx.xml
- <SD-Card>/17KReader/####/02f0a03cfb56c33186c4aa1da828bb54
- <SD-Card>/17KReader/####/1277035.in
- <SD-Card>/17KReader/####/20730727.k1
- <SD-Card>/17KReader/####/20746611.k1
- <SD-Card>/17KReader/####/20746626.k1
- <SD-Card>/17KReader/####/20747086.k1
- <SD-Card>/17KReader/####/28e76782e9f55a01bd6676e834ca2649
- <SD-Card>/17KReader/####/5bd01e4d5629b1f6b16e7b421ecbce95
- <SD-Card>/17KReader/####/c46f323a781633a5bd58de366a6b93e7
- <SD-Card>/17KReader/####/c46f323a781633a5bd58de366a6b93e7 (deleted)
- <SD-Card>/17KReader/####/e74e91595f7d3b8ece59d23b169ff608
- <SD-Card>/Download/####/5.0ae83-a4cae9ec7c4b.jar.t
- <SD-Card>/dt/restime.dat
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- logcat -c
- logcat -d -v raw -s AndroidRuntime:E -p <Package>
Загружает динамические библиотеки:
- LineBreak-v2
- NativeFormats-v1
- libjiagu
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Отрисовывает собственные окна поверх других приложений.
