Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Spy.165.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) i####.pl####.net.####.com:80
- TCP(HTTP/1.1) l####.tbs.qq.com:80
- TCP(HTTP/1.1) s####.lon####.com.####.com:80
- TCP(HTTP/1.1) img.pl####.net:80
- TCP(HTTP/1.1) lon####.com.c####.####.com:80
- TCP(HTTP/1.1) hn####.cn:80
- TCP(HTTP/1.1) cgi.con####.qq.com:80
- TCP(HTTP/1.1) suo.im.cdn.####.com:80
Запросы DNS:
- cgi.con####.qq.com
- hn####.cn
- i####.pl####.net
- img.pl####.net
- l####.tbs.qq.com
- livest####.plu.cn
- lon####.com
- s####.im
- s####.lon####.com
Запросы HTTP GET:
- cgi.con####.qq.com/qqconnectopen/openapi/policy_conf?sdkv=####&appid=###...
- hn####.cn/yunapp/GetDataApi.Asp?Action=####&yz=####&sign=####&time=####
- hn####.cn/yunapp/Getdataapi.asp?Action=####&cpu=####&jx=####&yz=####&up=...
- hn####.cn/yunapp/UserData.asp?A=####
- i####.pl####.net.####.com/0073/4a6b/dde1/4a8b/03f9/0061/18d4/4a22.jpg
- i####.pl####.net.####.com/0f8f/8b21/eb97/d43b/7a90/6b65/d0a7/aca6.jpg
- i####.pl####.net.####.com/11b7/e208/5f3b/779a/54cb/f577/cb13/d35c.jpg
- i####.pl####.net.####.com/16c7/62d6/3f05/dbde/fbd4/cbf0/c5b5/7d0b.jpg
- i####.pl####.net.####.com/2d68/246c/9a6d/649b/ea76/5e0b/d129/8e88.jpg
- i####.pl####.net.####.com/3ab9/9c93/b4e4/6923/a521/08be/7743/d039.jpg
- i####.pl####.net.####.com/4565/b0cf/41a7/2509/4079/e442/ff71/9b3a.jpg
- i####.pl####.net.####.com/59e9/a80b/e5c9/77df/1a8d/1eaa/504f/6af3.jpg
- i####.pl####.net.####.com/6c5d/49f9/00b8/e837/fa2a/1d4c/de8a/3273.jpg
- i####.pl####.net.####.com/7669/8cc0/7764/a19e/c0a8/9a77/2f83/842f.jpg
- i####.pl####.net.####.com/7f2e/4ca1/7bba/0280/908a/d038/feae/a309.jpg
- i####.pl####.net.####.com/9a15/26c6/933c/ccaf/3737/9fcf/7ac5/9c5a.jpg
- i####.pl####.net.####.com/c112/7db2/d538/3998/170d/d52b/b34b/7eed.jpg
- i####.pl####.net.####.com/c66d/511a/ac29/43b7/1089/1e95/09a2/364e.jpg
- i####.pl####.net.####.com/live/screenshots/1008182/9a3f/8d81/36d3/358f/d...
- i####.pl####.net.####.com/live/screenshots/1294621/a94c/1f12/0c5f/3e01/c...
- i####.pl####.net.####.com/live/screenshots/1475220/84a1/ef05/992e/acc7/e...
- i####.pl####.net.####.com/live/screenshots/1505288/1a97/a4f5/457e/db6a/e...
- i####.pl####.net.####.com/live/screenshots/2056749/15ff/f58c/3563/4900/9...
- i####.pl####.net.####.com/live/screenshots/2076087/6795/72e4/8b60/6536/e...
- i####.pl####.net.####.com/live/screenshots/2112355/f9d5/b2f5/ca99/9cff/5...
- i####.pl####.net.####.com/live/screenshots/799044/c324/1ac9/c8fd/02ea/49...
- img.pl####.net/2015/12/03/8995/0b40/1f17/73d1/8871/3cc6/b2fe/37b4.jpg
- lon####.com.c####.####.com/games/?from=####
- s####.lon####.com.####.com/api/streams/search?game=####&tag=####&device=...
- suo.im.cdn.####.com/api.php?url=/hnhnsw.cn/yunapp/Tg/?N=####
Запросы HTTP POST:
- l####.tbs.qq.com/ajax?c=####&k=####
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/.jiagu/libjiagu.so
- <Package Folder>/app_tbs/####/core_info
- <Package Folder>/app_tbs/####/debug.conf
- <Package Folder>/app_tbs/####/tbs_report_lock.txt
- <Package Folder>/app_tbs/####/tbscoreinstall.txt
- <Package Folder>/app_tbs/####/tbslock.txt
- <Package Folder>/cache/####/WebpageIcons.db-journal
- <Package Folder>/databases/webview.db-journal
- <Package Folder>/files/####/.jg.ic
- <Package Folder>/files/com.tencent.open.config.json.1106302316
- <Package Folder>/shared_prefs/tbs_download_config.xml
- <Package Folder>/shared_prefs/tbs_download_stat.xml
- <Package Folder>/shared_prefs/tbs_load_stat_flag.xml
- <SD-Card>/Android/####/.nomedia
- <SD-Card>/Android/####/104aelnf4i3gj2wfxoyxqhpjl.tmp
- <SD-Card>/Android/####/1aei509okasp1oo9p4jjzi35d.tmp
- <SD-Card>/Android/####/1dv0zz6lalv9svtf1xfr3b9rq.tmp
- <SD-Card>/Android/####/1jj3gyi6xxvjbgsfq4wn2ekh.tmp
- <SD-Card>/Android/####/1msd3a1cttpkbgxoxypqvu44t.tmp
- <SD-Card>/Android/####/1rto1x8ebac8hjnczql9gpem0.tmp
- <SD-Card>/Android/####/1ybvmwenrldzna32vatlgrtxt.tmp
- <SD-Card>/Android/####/2i3wbg29p861x6j1lri0bs31e.tmp
- <SD-Card>/Android/####/2ldmr002wtb3z9v60h408h1pw.tmp
- <SD-Card>/Android/####/32msjc3soer6u1xlvgd4f7933.tmp
- <SD-Card>/Android/####/3ipjjfwgoeotfwg0jlyi9prxm.tmp
- <SD-Card>/Android/####/4hoed15kt3np2bnw9sssn7o1z.tmp
- <SD-Card>/Android/####/4vnv18pe3eh7k03ud9dbmehof.tmp
- <SD-Card>/Android/####/5c2uofxv54q6rf4y8pl6yadke.tmp
- <SD-Card>/Android/####/5jn06drfijaj224s8yrws83mn.tmp
- <SD-Card>/Android/####/63egmmgk8n6z7xaikr5rpzzph.tmp
- <SD-Card>/Android/####/6oiqa8wcug7689ltxr0x26aol.tmp
- <SD-Card>/Android/####/6spg90z4v0e8c8xtsrfv6huwu.tmp
- <SD-Card>/Android/####/6tijt9li54j4knwk9rjm5mt1w.tmp
- <SD-Card>/Android/####/70wuok5zddvgdp9eui79154e9.tmp
- <SD-Card>/Android/####/77z3anxr34ec2g43cp8fm7us9.tmp
- <SD-Card>/Android/####/jt96xp9v0rlsxpqf49njt84m.tmp
- <SD-Card>/Android/####/k5ofc375ldhzr5fhtk319rqy.tmp
- <SD-Card>/YunBox/config.ini
- <SD-Card>/YunBox/listlog.txt
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- getprop ro.product.cpu.abi
Загружает динамические библиотеки:
- libjiagu
Использует следующие алгоритмы для шифрования данных:
- RSA-ECB-NoPadding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
