Android.Xiny.596

Техническая информация

Вредоносные функции:

Загружает на исполнение код следующих детектируемых угроз:

Android.Xiny.20
Android.Xiny.227.origin

Сетевая активность:

Подключается к:

UDP(DNS) <Google DNS>
TCP(HTTP/1.1) c####.im.qq.com:80
TCP(HTTP/1.1) www.chuangk####.com:80
TCP(HTTP/1.1) 2####.243.193.48:80
TCP(HTTP/1.1) www.ty####.cn:80
TCP(HTTP/1.1) c.appj####.com:80
TCP(HTTP/1.1) a.appj####.com:80
TCP(HTTP/1.1) f.xingch####.com.####.com:80
TCP(TLS/1.0) ssl.gst####.com:443
TCP(TLS/1.0) www.go####.nl:443
TCP(TLS/1.0) www.go####.com:443

Запросы DNS:

a.appj####.com
c####.im.qq.com
c.appj####.com
f.xingch####.com
ssl.gst####.com
t.si####.net
www.chuangk####.com
www.go####.com
www.go####.nl
www.gst####.com
www.ty####.cn

Запросы HTTP GET:

f.xingch####.com.####.com/201712/ae83-a4cae9ec7c4b.jar

Запросы HTTP POST:

a.appj####.com/jiagu/check/upgrade
c####.im.qq.com/cgi-bin/cgi_svrtime
c.appj####.com/ad/splash/stats.html
www.chuangk####.com/cms/mutual.ws
www.chuangk####.com/mcd3/checkfilesupdate.jsp
www.ty####.cn/n
www.ty####.cn/t1?requestId=####&g=####&ua=####

Изменения в файловой системе:

Создает следующие файлы:

<Package Folder>/.jiagu/libjiagu.so
<Package Folder>/databases/downloadswc
<Package Folder>/databases/downloadswc-journal
<Package Folder>/databases/webview.db-journal
<Package Folder>/files/####/.jg.ic
<Package Folder>/shared_prefs/<Package>_preferences.xml
<Package Folder>/shared_prefs/W_Key.xml
<Package Folder>/shared_prefs/ad_show_time.xml
<Package Folder>/shared_prefs/client_ini.xml
<Package Folder>/shared_prefs/jg_app_update_settings_random.xml
<Package Folder>/shared_prefs/st.xml
<Package Folder>/shared_prefs/z.xml
<SD-Card>/Download/####/5.0ae83-a4cae9ec7c4b.jar
<SD-Card>/dt/restime.dat
<SD-Card>/mcd3/####/31_1349758241555_270961.png
<SD-Card>/mcd3/####/31_1349758241633_392403.png
<SD-Card>/mcd3/####/31_1349758241680_606747.png
<SD-Card>/mcd3/####/31_1349758241712_992285.png
<SD-Card>/mcd3/####/359651042080793.txt
<SD-Card>/mcd3/####/37_1348544178091_509236.png
<SD-Card>/mcd3/####/37_1348544178635_625364.png
<SD-Card>/mcd3/####/37_1348544178717_496971.png
<SD-Card>/mcd3/####/37_1348544178767_769679.png
<SD-Card>/mcd3/####/37_1348544178801_296545.png
<SD-Card>/mcd3/####/37_1348544179102_787486.png
<SD-Card>/mcd3/####/37_1348544179185_874449.png
<SD-Card>/mcd3/####/37_1348544179218_80768.png
<SD-Card>/mcd3/####/37_1348544179268_291694.png
<SD-Card>/mcd3/####/37_1348544179302_371134.png
<SD-Card>/mcd3/####/37_1348565247924_278789.png
<SD-Card>/mcd3/####/37_1348565248723_367898.png
<SD-Card>/mcd3/####/37_1348565248785_939717.png
<SD-Card>/mcd3/####/37_1348566355498_181353.png
<SD-Card>/mcd3/####/37_1348572915732_439675.png
<SD-Card>/mcd3/####/37_1348572916185_940761.png
<SD-Card>/mcd3/####/37_1348572916268_858086.png
<SD-Card>/mcd3/####/37_1348572916317_435496.png
<SD-Card>/mcd3/####/37_1348573356409_797700.png
<SD-Card>/mcd3/####/37_1348573357502_85277.png
<SD-Card>/mcd3/####/37_1348573357536_493275.png
<SD-Card>/mcd3/####/37_1348573371264_952041.png
<SD-Card>/mcd3/####/37_1348621814836_984566.png
<SD-Card>/mcd3/####/37_1348621815058_815607.png
<SD-Card>/mcd3/####/37_1348624286739_507346.png
<SD-Card>/mcd3/####/37_1348624287042_272185.png
<SD-Card>/mcd3/####/37_1348624287125_800115.png
<SD-Card>/mcd3/####/37_1348624287209_566074.png
<SD-Card>/mcd3/####/37_1348624287292_255684.png
<SD-Card>/mcd3/####/37_1348624287325_906683.png
<SD-Card>/mcd3/####/37_1348624674993_691137.png
<SD-Card>/mcd3/####/37_1348625848792_700704.png
<SD-Card>/mcd3/####/37_1348625849209_826141.png
<SD-Card>/mcd3/####/37_1348626678875_958410.png
<SD-Card>/mcd3/####/37_1348626679243_855498.png
<SD-Card>/mcd3/####/37_1348626679324_565660.png
<SD-Card>/mcd3/####/37_1348627290300_623012.png
<SD-Card>/mcd3/####/37_1348627290624_902864.png
<SD-Card>/mcd3/####/37_1348627407364_533208.png
<SD-Card>/mcd3/####/37_1348628196550_571511.png
<SD-Card>/mcd3/####/37_1348628196957_173280.png
<SD-Card>/mcd3/####/37_1348633289625_960185.png
<SD-Card>/mcd3/####/37_1348633289664_263187.png
<SD-Card>/mcd3/####/37_1348643139005_26094.jpg
<SD-Card>/mcd3/####/37_1348643158319_918479.png
<SD-Card>/mcd3/####/37_1349866666392_551171.png
<SD-Card>/mcd3/####/37_1349940553952_574592.jpg
<SD-Card>/mcd3/####/37_1349941710319_937038.png
<SD-Card>/mcd3/####/clientBase.json
<SD-Card>/mcd3/####/nav_4000_66cdfbec-d6ae-4fcc-a59c-b06e04f9ef21.json
<SD-Card>/mcd3/####/nav_4000_8b05b3b8-e814-49e6-843a-5093411e270e.json
<SD-Card>/mcd3/####/nav_4000_a1a1fc12-fb8c-4984-8953-b501457a6518.json
<SD-Card>/mcd3/####/nav_4000_ad633404-1c47-44b2-8daa-748ebd896c2c.json
<SD-Card>/mcd3/####/nav_4000_cab11b23-1cbb-4aa7-9d42-3852ba535d02.json
<SD-Card>/mcd3/####/nav_5000_b94a3e5d-5c84-4274-8d96-ce4c6d7f1d80.json
<SD-Card>/mcd3/####/navitem_5000_b94a3e5d-5c84-4274-8d96-ce4c6d7f1d80.json
<SD-Card>/mcd3/####/page_1004_04083bdc-f59c-4615-9acd-bf3f84d2500f.json
<SD-Card>/mcd3/####/page_1004_329f81ce-9f74-425a-8cdd-259d6562a0b6.json
<SD-Card>/mcd3/####/page_1004_424ff632-819a-4b2a-ad3f-6597235a3596.json
<SD-Card>/mcd3/####/page_1004_6ce0d290-9116-41f9-83cb-540cc961a8cd.json
<SD-Card>/mcd3/####/page_1004_7e020314-add5-453b-a623-9b8372b54c36.json
<SD-Card>/mcd3/####/page_1004_a1a2678e-68c6-40eb-b653-52e9d9000345.json
<SD-Card>/mcd3/####/page_1004_afb67d57-666e-431a-97cb-f37caeb8051b.json
<SD-Card>/mcd3/####/page_1004_b295969e-2f71-4f7c-baf7-45d3b999962c.json
<SD-Card>/mcd3/####/page_1004_c870b8d3-d105-41ac-b2a8-90669d05d50c.json
<SD-Card>/mcd3/####/page_1004_ceda8b58-162f-41ec-84dc-287a40264124.json
<SD-Card>/mcd3/####/page_1004_de27ac01-d647-4a94-97b1-0a8fbca16288.json
<SD-Card>/mcd3/####/page_1_477ca8bd-66cd-4271-96ac-eb89d7d12d80.json
<SD-Card>/mcd3/####/page_4_4cd05f4c-348c-4a1d-bfa4-84c547102561.json
<SD-Card>/mcd3/####/page_9_31efa2ea-3f8c-41a1-a0f4-e0638cf7b159.json
<SD-Card>/mcd3/####/page_9_3fbbca01-863d-4207-a56c-cc920d1d9a15.json
<SD-Card>/mcd3/####/page_9_dc1cba60-dd09-41c3-8a94-9576d031b28b.json
<SD-Card>/mcd3/####/pageitem2_1004_04083bdc-f59c-4615-9acd-bf3f...f.json
<SD-Card>/mcd3/####/pageitem2_1004_329f81ce-9f74-425a-8cdd-259d...6.json
<SD-Card>/mcd3/####/pageitem2_1004_424ff632-819a-4b2a-ad3f-6597...6.json
<SD-Card>/mcd3/####/pageitem2_1004_6ce0d290-9116-41f9-83cb-540c...d.json
<SD-Card>/mcd3/####/pageitem2_1004_7e020314-add5-453b-a623-9b83...6.json
<SD-Card>/mcd3/####/pageitem2_1004_a1a2678e-68c6-40eb-b653-52e9...5.json
<SD-Card>/mcd3/####/pageitem2_1004_afb67d57-666e-431a-97cb-f37c...b.json
<SD-Card>/mcd3/####/pageitem2_1004_b295969e-2f71-4f7c-baf7-45d3...c.json
<SD-Card>/mcd3/####/pageitem2_1004_c870b8d3-d105-41ac-b2a8-9066...c.json
<SD-Card>/mcd3/####/pageitem2_1004_ceda8b58-162f-41ec-84dc-287a...4.json
<SD-Card>/mcd3/####/pageitem2_1004_de27ac01-d647-4a94-97b1-0a8f...8.json
<SD-Card>/mcd3/####/pageitem_1004_04083bdc-f59c-4615-9acd-bf3f8...f.json
<SD-Card>/mcd3/####/pageitem_1004_329f81ce-9f74-425a-8cdd-259d6...6.json
<SD-Card>/mcd3/####/pageitem_1004_424ff632-819a-4b2a-ad3f-65972...6.json
<SD-Card>/mcd3/####/pageitem_1004_6ce0d290-9116-41f9-83cb-540cc...d.json
<SD-Card>/mcd3/####/pageitem_1004_7e020314-add5-453b-a623-9b837...6.json
<SD-Card>/mcd3/####/pageitem_1004_a1a2678e-68c6-40eb-b653-52e9d...5.json
<SD-Card>/mcd3/####/pageitem_1004_afb67d57-666e-431a-97cb-f37ca...b.json
<SD-Card>/mcd3/####/pageitem_1004_b295969e-2f71-4f7c-baf7-45d3b...c.json
<SD-Card>/mcd3/####/pageitem_1004_c870b8d3-d105-41ac-b2a8-90669...c.json
<SD-Card>/mcd3/####/pageitem_1004_ceda8b58-162f-41ec-84dc-287a4...4.json
<SD-Card>/mcd3/####/pageitem_1004_de27ac01-d647-4a94-97b1-0a8fb...8.json

Другие:

Запускает следующие shell-скрипты:

chmod 755 <Package Folder>/.jiagu/libjiagu.so

Загружает динамические библиотеки:

libjiagu

Использует специальную библиотеку для скрытия исполняемого байткода.

Осуществляет доступ к информации о телефоне (номер, imei и тд.).

Отрисовывает собственные окна поверх других приложений.

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней