Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Spy.127.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) m.i####.com:80
- TCP(HTTP/1.1) pub.funs####.com:80
- TCP(HTTP/1.1) s####.funs####.net:80
- TCP(HTTP/1.1) po.funs####.com:80
Запросы DNS:
- m.i####.com
- po.funs####.com
- pub.funs####.com
- s####.funs####.net
- up####.funs####.com
Запросы HTTP GET:
- m.i####.com/cfg/appkey-684f15fa71301257
- po.funs####.com/fpupdate/INI/config_update_funplayer.txt
- po.funs####.com/v5/config/cache?cl=####&ve=####
- po.funs####.com/v5/config/general?cl=####&ve=####
- po.funs####.com/v5/config/init?cl=####&ve=####&mac=####&uc=####
- po.funs####.com/v5/config/log?cl=####&ve=####&mac=####&uc=####
- pub.funs####.com/interface/materials?ap=####&client=####&uid=####&mac=##...
- s####.funs####.net/ecom_mobile/bootstrap?dev=####&ver=####&fudid=####&si...
- s####.funs####.net/ecom_mobile/servicehb?dev=####&ver=####&fudid=####&si...
Запросы HTTP POST:
- m.i####.com/rec/se?_iwt_t=####&sv=####
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/.jiagu/libjiagu1700934714.so
- <Package Folder>/databases/_ire-journal
- <Package Folder>/databases/funshion.db-journal
- <Package Folder>/files/####/.jg.ic
- <Package Folder>/shared_prefs/MATSharedPreferences.xml
- <Package Folder>/shared_prefs/cn.com.mma.mobile.tracking.other.xml
- <Package Folder>/shared_prefs/fudid.xml
- <Package Folder>/shared_prefs/funshion.xml
- <Package Folder>/shared_prefs/funshion.xml.bak
- <Package Folder>/shared_prefs/jg_so_upgrade_setting.xml
- <Package Folder>/shared_prefs/peerid_config.xml
- <SD-Card>/.fudid
- <SD-Card>/funshion/####/0d6d42d352b24c7b0ff407b28d4d0ab179e34d6b.cache
- <SD-Card>/funshion/####/723449e60254a6bc366aba8882a2a6bec51acaed.cache
- <SD-Card>/funshion/####/cache.rules.tmp
- <SD-Card>/funshion/####/config.ini.tmp
- <SD-Card>/funshion/####/funshion.ini
- <SD-Card>/funshion/####/funshion_aphone_3.6_afafa9f9baa8_20171116.log
- <SD-Card>/funshion/####/journal.tmp
- <SD-Card>/funshion/####/p2p_config.ini
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu1700934714.so
Загружает динамические библиотеки:
- fsp2p
- libjiagu1700934714
- loginclient
- lsv
- mresearch
Использует следующие алгоритмы для шифрования данных:
- DES-CBC-PKCS5Padding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- DES-CBC-PKCS5Padding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
