Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.3394
- Android.DownLoader.635.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) sni.c####.q####.####.com:80
- TCP(HTTP/1.1) ope####.mob####.360.cn:80
- TCP(HTTP/1.1) zhu####.360.cn:80
- TCP(HTTP/1.1) s####.tc.qq.com:80
- TCP(HTTP/1.1) s2.q####.com:80
- TCP(HTTP/1.1) c.appj####.com:80
- TCP(HTTP/1.1) s.3####.cn:80
- TCP(HTTP/1.1) m.a####.so.com:80
- TCP(HTTP/1.1) p5.q####.com.####.com:80
- TCP(HTTP/1.1) p0.q####.com.####.com:80
- TCP(HTTP/1.1) api.b####.net:80
- TCP(HTTP/1.1) v2st####.epu####.com:80
- TCP(HTTP/1.1) img.b####.net:80
- TCP(HTTP/1.1) cdn-boo####.b0.a####.com:80
- TCP(HTTP/1.1) p0.q####.com:80
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) oc.u####.com:80
- TCP(HTTP/1.1) www.epu####.com:80
- TCP(HTTP/1.1) p8.q####.com.####.com:80
- TCP(HTTP/1.1) s0.q####.com:80
- TCP(TLS/1.0) cdn.session####.com:443
- TCP(TLS/1.0) www.go####.com:443
Запросы DNS:
- a####.u####.com
- api.b####.net
- c.appj####.com
- cdn.boo####.com
- cdn.session####.com
- fb.u####.com
- img.b####.net
- js.epu####.com
- m.a####.so.com
- oc.u####.com
- ope####.mob####.360.cn
- p0.q####.com
- p0.q####.com
- p1.q####.com
- p15.q####.com
- p19.q####.com
- p3.q####.com
- p4.q####.com
- p5.q####.com
- p8.q####.com
- qn.m####.epu####.com
- qt####.cre####.com
- r####.wx.qq.com
- s.3####.cn
- s0.q####.com
- s2.q####.com
- s3.q####.com
- s4.q####.com
- s9.q####.com
- v2st####.epu####.com
- www.epu####.com
- www.go####.com
- zhu####.360.cn
Запросы HTTP GET:
- api.b####.net/cate_cont.php?id=####&cv=####&cc=####&ua=####&sid=####&uid...
- api.b####.net/cate_info.php?id=####&cv=####&cc=####&ua=####&sid=####&uid...
- api.b####.net/config.php?cv=####&cc=####&ua=####&sid=####&uid=####&imei=...
- api.b####.net/main.php?cv=####&cc=####&ua=####&sid=####&uid=####&imei=##...
- cdn-boo####.b0.a####.com/jquery/1.8.1/jquery.min.js
- img.b####.net/99/36/22878646.jpg
- img.b####.net/99/51/79789080.jpg
- img.b####.net/99/60/48418929.jpg
- img.b####.net/99/69/55181387.jpg
- img.b####.net/99/71/81030273.png
- img.b####.net/99/74/34938465.jpg
- img.b####.net/99/93/87186450.png
- img.b####.net/99/94/95682426.jpg
- m.a####.so.com/detail/index?from=####&id=####
- m.a####.so.com/message/index?page=####&requestType=####&_t=####&name=####
- m.a####.so.com/static/css/base.css
- m.a####.so.com/static/css/details.css
- m.a####.so.com/static/js/127.js?v=####
- m.a####.so.com/static/js/common.js?v=####
- m.a####.so.com/static/js/record.js
- m.a####.so.com/static/js/swipeview.js
- m.a####.so.com/static/js/web_app_status.js
- ope####.mob####.360.cn/qing/app?sid=####&fm=####
- ope####.mob####.360.cn/qing/getgamebookinfo?_=####&callback=####
- p0.q####.com.####.com/d/inn/2ddc5fd6/logo_0413.png
- p0.q####.com.####.com/d/inn/6db6be32/arr_more.png
- p0.q####.com.####.com/t01096c583f56ee2d8b.png
- p0.q####.com.####.com/t010b9d988fe9ad3962.png
- p0.q####.com.####.com/t011021cebea599e155.png
- p0.q####.com.####.com/t015d31d6837a8b21c6.png
- p0.q####.com.####.com/t01a895d5cc655f553d.png
- p0.q####.com/t01310e0d604fc13ad1.png
- p0.q####.com/t014283e2a411519723.png
- p0.q####.com/t017633c37c600b9fd3.png
- p0.q####.com/t01aabc30546994b8a1.png
- p0.q####.com/t01af716fbb44572755.png
- p0.q####.com/t01c36ab37c65c16530.png
- p5.q####.com.####.com/d/inn/579351d4/image_icon.png
- p8.q####.com.####.com/d/inn/465ff3dd/wenda_icon.png
- p8.q####.com.####.com/t018f53fd949cf15b75.png
- s####.tc.qq.com/open/js/jweixin-1.2.0.js
- s.3####.cn/w360/s.htm?p=mobilegame&u=http://m.app.so.com/detail/index?id...
- s0.q####.com/apc/zepto.min/45.js
- s0.q####.com/monitor/;monitor/2edd36ee.js
- s0.q####.com/static/3675c70f40c0dbaa.js
- s0.q####.com/static/a839ec0ad22b001b.js
- s2.q####.com/d/inn/ba55408d/video_icon.png
- s2.q####.com/static/45be3c09c978b362.js
- s2.q####.com/t01264dc4e907fd00d1.gif
- s2.q####.com/t013bc02133a88cda70.png
- s2.q####.com/t01db2e6d28cb212497.png
- s2.q####.com/t01fcda6e3542002db2.png
- sni.c####.q####.####.com/book/covermini/7b94efa8470e71046b8315d9773e2a71...
- sni.c####.q####.####.com/csn41q/5/index.js
- v2st####.epu####.com/diazo/epub360player/player.1f5facc6.cache.js
- v2st####.epu####.com/diazo/epub360player/weixin.0f67623f.cache.js
- v2st####.epu####.com/diazo/player-built/mobileview.built.678e2fee.cache.js
- v2st####.epu####.com/diazo/player-built/mobileview.built.ee33b878.cache....
- v2st####.epu####.com/diazo/player-built/require.built.0e849568.cache.js
- v2st####.epu####.com/thirdparty/animate/animate.min.css
- v2st####.epu####.com/thirdparty/script/script.min.js
- www.epu####.com/v2/manage/book/csn41q/
- www.epu####.com/v2/manage/book/csn41q/config.js?url=####
- zhu####.360.cn/detail/index/soft_id/2300771?recrefer=####
Запросы HTTP POST:
- a####.u####.com/app_logs
- api.b####.net/pre_reg.php?cv=####&cc=####&ua=####&sid=####&uid=####&imei...
- c.appj####.com/ad/splash/stats.html
- oc.u####.com/check_config_update
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/.jiagu/libjiagu.so
- <Package Folder>/app_spkyvvn/<Package>.apk
- <Package Folder>/cache/####/-12656420111952214833
- <Package Folder>/cache/####/-130881852962492821
- <Package Folder>/cache/####/-1401770285-344918836
- <Package Folder>/cache/####/1004862486962492821
- <Package Folder>/cache/####/1212774810-344918836
- <Package Folder>/files/####/.jg.ic
- <Package Folder>/files/.imprint
- <Package Folder>/files/mobclick_agent_cached_<Package>4
- <Package Folder>/files/umeng_it.cache
- <Package Folder>/shared_prefs/ad_show_time.xml
- <Package Folder>/shared_prefs/jg_app_update_settings_random.xml
- <Package Folder>/shared_prefs/mobclick_agent_online_setting_<Package>.xml
- <Package Folder>/shared_prefs/ring_master_preference.xml
- <Package Folder>/shared_prefs/umeng_feedback_conversations.xml
- <Package Folder>/shared_prefs/umeng_feedback_user_info.xml
- <Package Folder>/shared_prefs/umeng_general_config.xml
- <SD-Card>/BabyTing/####/-318861064
- <SD-Card>/BabyTing/####/053b920b9b6569788ce1845b7c6c8dae
- <SD-Card>/BabyTing/####/1069376125
- <SD-Card>/BabyTing/####/25b63c9a7af8a8b049cc2f2e47768d79
- <SD-Card>/BabyTing/####/583d1531d3e90f37bae11a91784ac008
- <SD-Card>/BabyTing/####/5a31c3ae220cfea391e14ece92a15d8f
- <SD-Card>/BabyTing/####/8bcfc39641629b9d65a64e3ac3dce9c4
- <SD-Card>/BabyTing/####/94465222c84e447cbedcff8edd127677
- <SD-Card>/BabyTing/####/ca763ec0d8b0acb81efba7b6892ceb8e
- <SD-Card>/BabyTing/####/fb1c9e5124e47e5d68aebe185d9bbd76
- <SD-Card>/BabyTing/####/journal.tmp
- <SD-Card>/BabyTing/####/sqlite.db
- <SD-Card>/BabyTing/####/sqlite.db-journal
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
Загружает динамические библиотеки:
- jnidmplayer
- libjiagu
- platinum-jni
Использует следующие алгоритмы для шифрования данных:
- RSA
Использует следующие алгоритмы для расшифровки данных:
- AES-ECB-PKCS5Padding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации о настроках APN.
Отрисовывает собственные окна поверх других приложений.
