Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Xiny.20
- Android.Xiny.247.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) c####.im.qq.com:80
- TCP(HTTP/1.1) d.weixu####.com.####.com:80
- TCP(HTTP/1.1) www.ty####.cn:80
- TCP(HTTP/1.1) ap####.w####.cn.####.com:80
- TCP(HTTP/1.1) app.w####.cn:80
- TCP(HTTP/1.1) 58.2####.46.153:8080
- TCP(HTTP/???) app.w####.cn:80
Запросы DNS:
- ap####.w####.cn
- app.w####.cn
- c####.im.qq.com
- d.weixu####.com.cn
- liuyang####.com
- t.si####.net
- www.ty####.cn
Запросы HTTP GET:
- ap####.w####.cn.####.com/appfile/b_pkg3.0.5_1.png
- app.w####.cn/action/account/getinfo?app_id=####&udid=####&imsi=####&net=...
- app.w####.cn/action/account/spend?app_id=####&udid=####&imsi=####&net=##...
- app.w####.cn/action/connect/active?app_id=####&udid=####&imsi=####&net=#...
- app.w####.cn/t.jsp
- app.w####.cn/usb_check.jsp?app_id=####&udid=####&imsi=####&net=####&base...
- d.weixu####.com.####.com/201801/wet.jar
Запросы HTTP POST:
- app.w####.cn/action/user_info
- c####.im.qq.com/cgi-bin/cgi_svrtime
- www.ty####.cn/n
- www.ty####.cn/t1?requestId=####&g=####
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/.jiagu/libjiagu.so
- <Package Folder>/databases/downloadswc
- <Package Folder>/databases/downloadswc-journal
- <Package Folder>/files/####/.jg.ic
- <Package Folder>/files/CacheTime.dat
- <Package Folder>/shared_prefs/<Package>_preferences.xml
- <Package Folder>/shared_prefs/<Package>_preferences.xml.bak
- <Package Folder>/shared_prefs/AppSettings.xml
- <Package Folder>/shared_prefs/PaySettings.xml
- <Package Folder>/shared_prefs/ShowAdFlag.xml
- <Package Folder>/shared_prefs/W_Key.xml
- <Package Folder>/shared_prefs/english_junior_help_pref.xml
- <Package Folder>/shared_prefs/st.xml
- <Package Folder>/shared_prefs/z.xml
- <SD-Card>/Android/####/AppPackage.dat
- <SD-Card>/Android/####/CacheTime.dat
- <SD-Card>/Android/####/UnPackage.dat
- <SD-Card>/Android/####/android
- <SD-Card>/Android/####/b_pkg3.0.5_1.png
- <SD-Card>/Download/####/5.0wet.jar
- <SD-Card>/dt/restime.dat
- <SD-Card>/qqzt/temp.txt
- <SD-Card>/wordsjuniorhelp/junior_dict.db
- <SD-Card>/wordsjuniorhelp/junior_dict.db-journal
- <SD-Card>/wordsjuniorhelp/juniorhelp_practice04.db
- <SD-Card>/wordsjuniorhelp/wordsnew0_8
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
Загружает динамические библиотеки:
- libjiagu
Использует следующие алгоритмы для шифрования данных:
- DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- DES-CBC-PKCS5Padding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
