Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.657.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) t####.c####.q####.####.com:80
- TCP(HTTP/1.1) 47.92.1####.96:80
- TCP(HTTP/1.1) d14uy7w####.cloudf####.net:80
- TCP(HTTP/1.1) 1####.76.224.67:80
- TCP(HTTP/1.1) se####.info####.mobi:80
- TCP(HTTP/1.1) cdn.img.h####.####.com:80
- TCP(HTTP/1.1) cdn.game####.org:80
- TCP(TLS/1.0) api.face####.com:443
- TCP(TLS/1.0) ssl.google-####.com:443
- TCP(TLS/1.0) us####.leanc####.cn:443
- TCP(TLS/1.0) app-ro####.leanc####.cn:443
- TCP(TLS/1.0) x####.l####.top:443
Запросы DNS:
- 7d####.c####.z0.####.com
- a####.u####.com
- app-ro####.leanc####.cn
- cdn.app.h####.top
- cdn.game####.org
- cdn.img.h####.top
- d14uy7w####.cloudf####.net
- g####.face####.com
- se####.info####.mobi
- ssl.google-####.com
- us####.leanc####.cn
- x####.l####.top
Запросы HTTP GET:
- cdn.game####.org/strategy/UnknownDev
- cdn.game####.org/strategy/base
- cdn.game####.org/strategy/dev_root
- cdn.game####.org/strategy/dev_root2
- cdn.game####.org/strategy/larger4.3
- cdn.game####.org/strategy/loss_4.3
- cdn.game####.org/strategy/sul18
- cdn.game####.org/strategy/symlink-adbd
- cdn.img.h####.####.com/upload/201803/1/app/20180301132200019.apk
- cdn.img.h####.####.com/upload/201803/1/img/20180301132145970.png
- d14uy7w####.cloudf####.net/download/key
- t####.c####.q####.####.com/images/002510805224652ea7bb7d1bdbb39660_1024x...
Запросы HTTP POST:
- a####.u####.com/app_logs
- se####.info####.mobi/app_category.php
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/.jiagu/libjiagu.so
- <Package Folder>/app_2f37c3ea-52e7-436b-9d9f-f40934bc7686/Matrix
- <Package Folder>/app_2f37c3ea-52e7-436b-9d9f-f40934bc7686/ddexe
- <Package Folder>/app_2f37c3ea-52e7-436b-9d9f-f40934bc7686/debuggerd
- <Package Folder>/app_2f37c3ea-52e7-436b-9d9f-f40934bc7686/fileWork
- <Package Folder>/app_2f37c3ea-52e7-436b-9d9f-f40934bc7686/insta...ery.sh
- <Package Folder>/app_2f37c3ea-52e7-436b-9d9f-f40934bc7686/pidof
- <Package Folder>/app_2f37c3ea-52e7-436b-9d9f-f40934bc7686/su
- <Package Folder>/app_2f37c3ea-52e7-436b-9d9f-f40934bc7686/supolicy
- <Package Folder>/app_2f37c3ea-52e7-436b-9d9f-f40934bc7686/toolbox
- <Package Folder>/app_2f37c3ea-52e7-436b-9d9f-f40934bc7686/wsroot.sh
- <Package Folder>/app_3ef2f68f-e384-48e4-8877-4b3d783f5966/Matrix
- <Package Folder>/app_3ef2f68f-e384-48e4-8877-4b3d783f5966/ddexe
- <Package Folder>/app_3ef2f68f-e384-48e4-8877-4b3d783f5966/debuggerd
- <Package Folder>/app_3ef2f68f-e384-48e4-8877-4b3d783f5966/fileWork
- <Package Folder>/app_3ef2f68f-e384-48e4-8877-4b3d783f5966/insta...ery.sh
- <Package Folder>/app_3ef2f68f-e384-48e4-8877-4b3d783f5966/pidof
- <Package Folder>/app_3ef2f68f-e384-48e4-8877-4b3d783f5966/su
- <Package Folder>/app_3ef2f68f-e384-48e4-8877-4b3d783f5966/supolicy
- <Package Folder>/app_3ef2f68f-e384-48e4-8877-4b3d783f5966/toolbox
- <Package Folder>/app_3ef2f68f-e384-48e4-8877-4b3d783f5966/wsroot.sh
- <Package Folder>/app_554c6d86-44a3-4015-9077-e14bb2045e70/Matrix
- <Package Folder>/app_554c6d86-44a3-4015-9077-e14bb2045e70/ddexe
- <Package Folder>/app_554c6d86-44a3-4015-9077-e14bb2045e70/debuggerd
- <Package Folder>/app_554c6d86-44a3-4015-9077-e14bb2045e70/fileWork
- <Package Folder>/app_554c6d86-44a3-4015-9077-e14bb2045e70/insta...ery.sh
- <Package Folder>/app_554c6d86-44a3-4015-9077-e14bb2045e70/pidof
- <Package Folder>/app_554c6d86-44a3-4015-9077-e14bb2045e70/su
- <Package Folder>/app_554c6d86-44a3-4015-9077-e14bb2045e70/supolicy
- <Package Folder>/app_554c6d86-44a3-4015-9077-e14bb2045e70/toolbox
- <Package Folder>/app_554c6d86-44a3-4015-9077-e14bb2045e70/wsroot.sh
- <Package Folder>/app_9c1ff590-656d-4bc2-8e7f-dc9f26f3ba06/Matrix
- <Package Folder>/app_9c1ff590-656d-4bc2-8e7f-dc9f26f3ba06/ddexe
- <Package Folder>/app_9c1ff590-656d-4bc2-8e7f-dc9f26f3ba06/debuggerd
- <Package Folder>/app_9c1ff590-656d-4bc2-8e7f-dc9f26f3ba06/fileWork
- <Package Folder>/app_9c1ff590-656d-4bc2-8e7f-dc9f26f3ba06/insta...ery.sh
- <Package Folder>/app_9c1ff590-656d-4bc2-8e7f-dc9f26f3ba06/pidof
- <Package Folder>/app_9c1ff590-656d-4bc2-8e7f-dc9f26f3ba06/su
- <Package Folder>/app_9c1ff590-656d-4bc2-8e7f-dc9f26f3ba06/supolicy
- <Package Folder>/app_9c1ff590-656d-4bc2-8e7f-dc9f26f3ba06/toolbox
- <Package Folder>/app_9c1ff590-656d-4bc2-8e7f-dc9f26f3ba06/wsroot.sh
- <Package Folder>/app_b028b1ef-e7aa-46c5-99db-65371022aa45/Matrix
- <Package Folder>/app_b028b1ef-e7aa-46c5-99db-65371022aa45/ddexe
- <Package Folder>/app_b028b1ef-e7aa-46c5-99db-65371022aa45/debuggerd
- <Package Folder>/app_b028b1ef-e7aa-46c5-99db-65371022aa45/device.db
- <Package Folder>/app_b028b1ef-e7aa-46c5-99db-65371022aa45/fileWork
- <Package Folder>/app_b028b1ef-e7aa-46c5-99db-65371022aa45/insta...ery.sh
- <Package Folder>/app_b028b1ef-e7aa-46c5-99db-65371022aa45/pidof
- <Package Folder>/app_b028b1ef-e7aa-46c5-99db-65371022aa45/root3
- <Package Folder>/app_b028b1ef-e7aa-46c5-99db-65371022aa45/su
- <Package Folder>/app_b028b1ef-e7aa-46c5-99db-65371022aa45/supolicy
- <Package Folder>/app_b028b1ef-e7aa-46c5-99db-65371022aa45/toolbox
- <Package Folder>/app_b028b1ef-e7aa-46c5-99db-65371022aa45/wsroot.sh
- <Package Folder>/app_b3b8c0a3-079a-4eab-babc-c0e47a372e7f/9403a...8e.jar
- <Package Folder>/app_b6bb1a1b-d276-4872-a985-ca6eb84f7b0a/Matrix
- <Package Folder>/app_b6bb1a1b-d276-4872-a985-ca6eb84f7b0a/ddexe
- <Package Folder>/app_b6bb1a1b-d276-4872-a985-ca6eb84f7b0a/debuggerd
- <Package Folder>/app_b6bb1a1b-d276-4872-a985-ca6eb84f7b0a/fileWork
- <Package Folder>/app_b6bb1a1b-d276-4872-a985-ca6eb84f7b0a/insta...ery.sh
- <Package Folder>/app_b6bb1a1b-d276-4872-a985-ca6eb84f7b0a/pidof
- <Package Folder>/app_b6bb1a1b-d276-4872-a985-ca6eb84f7b0a/su
- <Package Folder>/app_b6bb1a1b-d276-4872-a985-ca6eb84f7b0a/supolicy
- <Package Folder>/app_b6bb1a1b-d276-4872-a985-ca6eb84f7b0a/toolbox
- <Package Folder>/app_b6bb1a1b-d276-4872-a985-ca6eb84f7b0a/wsroot.sh
- <Package Folder>/app_priv_res/ca397663-1365-42dd-96fd-e06c93ad3137
- <Package Folder>/app_subox/1740c449fc10be62df60ba0f18696c9f
- <Package Folder>/app_subox/32edd79a240b5f1e461d069caab1ec3e
- <Package Folder>/app_subox/8b6f263391259b7a8e5f58ee71852ca8
- <Package Folder>/app_subox/b0141e478b25af7c40a8cca8de6c4708
- <Package Folder>/app_subox/b18a021d11a3004d25017230b681476b
- <Package Folder>/app_subox/c61913b615fb6224701377a119081f36
- <Package Folder>/app_subox_download/1343a6f4-bb47-4971-8e0d-14276f1f3c72
- <Package Folder>/app_subox_download/2c38e0ad-1d9d-43c9-8a5c-161f93a3d3cd
- <Package Folder>/app_subox_download/341c3e0d-54f3-4a97-9991-0e9836647d0a
- <Package Folder>/app_subox_download/456aae96-f28f-4de8-a80a-056f019bf82c
- <Package Folder>/app_subox_download/c89a31ae-1b86-4f31-a45f-968dacfcca2d
- <Package Folder>/app_subox_download/cec1580d-daa8-44e6-b93d-06bbcf692cdc
- <Package Folder>/app_subox_download/d3ce1796-4461-4884-80d0-bfb260f84f05
- <Package Folder>/app_subox_download/f37fe78b-8b53-4dbd-9eba-486e09e895e6
- <Package Folder>/cache/####/ace8dff67f051838567c2235b790865e.0.tmp
- <Package Folder>/cache/####/ace8dff67f051838567c2235b790865e.1.tmp
- <Package Folder>/cache/####/eb2d82c43125328bd77c2af3f3070a0c.0.tmp
- <Package Folder>/cache/####/eb2d82c43125328bd77c2af3f3070a0c.1.tmp
- <Package Folder>/cache/####/journal.tmp
- <Package Folder>/databases/apps
- <Package Folder>/databases/apps-journal
- <Package Folder>/databases/google_analytics_v2.db-journal
- <Package Folder>/databases/t_u.db-journal
- <Package Folder>/files/####/.jg.ic
- <Package Folder>/files/####/exchangeIdentity.json
- <Package Folder>/files/.imprint
- <Package Folder>/files/6.jar
- <Package Folder>/files/SUBOXLOG_
- <Package Folder>/files/gaClientId
- <Package Folder>/files/mobclick_agent_cached_<Package>30
- <Package Folder>/files/umeng_it.cache
- <Package Folder>/shared_prefs/<Package>_preferences.xml
- <Package Folder>/shared_prefs/AV_CLOUD_API_VERSION_KEY_ZONE.xml
- <Package Folder>/shared_prefs/FBAdPrefs.xml
- <Package Folder>/shared_prefs/SDKIDFA.xml
- <Package Folder>/shared_prefs/ads_config.prefs.xml
- <Package Folder>/shared_prefs/com.avos.avoscloud.RequestStatist...ta.xml
- <Package Folder>/shared_prefs/com.avos.avoscloud.approuter.SCH4...MI.xml
- <Package Folder>/shared_prefs/kel.rzur.hn.ufk.xml
- <Package Folder>/shared_prefs/kr.xml
- <Package Folder>/shared_prefs/matrix_cache.prefs.xml
- <Package Folder>/shared_prefs/native_ui.prefs.xml
- <Package Folder>/shared_prefs/spName.xml
- <Package Folder>/shared_prefs/spName.xml.bak
- <Package Folder>/shared_prefs/umeng_general_config.xml
- <SD-Card>/Android/####/39cffb7107866b3ec8dd36f9b0eaf6b8.apk
- <SD-Card>/Android/####/b.tmp
- <SD-Card>/Android/####/eb2d82c431253
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- chmod 777 /storage/emulated/0/Android/data/<Package>/files/Download/Android/azb/39cffb7107866b3ec8dd36f9b0eaf6b8.apk
- chmod 777 Matrix ddexe debuggerd device.db fileWork install-recovery.sh pidof root3 su supolicy toolbox wsroot.sh
- chmod 777 Matrix ddexe debuggerd fileWork install-recovery.sh pidof su supolicy toolbox wsroot.sh
- sh
Загружает динамические библиотеки:
- libjiagu
Использует следующие алгоритмы для расшифровки данных:
- DES
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
