Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Backdoor.657.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) ecook-e####.b0.a####.com:80
- TCP(HTTP/1.1) a.e####.cn:80
- TCP(HTTP/1.1) cl####.bay####.com:80
- TCP(HTTP/1.1) a.appj####.com:80
- TCP(HTTP/1.1) m.e####.cn:80
- TCP(HTTP/1.1) api.e####.cn:80
- TCP(HTTP/1.1) 1####.26.247.23:80
- TCP(HTTP/1.1) c.appj####.com:80
- TCP(TLS/1.0) sh.wagbr####.alibaba####.com:443
- TCP(TLS/1.0) api.e####.cn:443
- TCP(TLS/1.0) pic.e####.cn:443
Запросы DNS:
- a.appj####.com
- a.e####.cn
- api.e####.cn
- c.appj####.com
- cl####.bay####.com
- e####.e####.cn
- m.e####.cn
- pic.e####.cn
- plb####.u####.com
- u####.u####.com
Запросы HTTP GET:
- a.e####.cn/public/getClickUrlList.shtml?lng=####&sd=####&screenheight=##...
- a.e####.cn/public/getStartUpImage.shtml?height=####&width=####&sd=####&m...
- a.e####.cn/public/rab.shtml?id=####&network=####&machine=####
- a.e####.cn/public/setMachineUa.shtml?lng=####&sd=####&screenheight=####&...
- a.e####.cn/public/showUrlVisit.shtml?os=####&osversion=####&appversion=#...
- api.e####.cn/public/getSecondaryHomeData.shtml?machine=####&version=####...
- cl####.bay####.com/terminal/adRequest/listener.do?t=####&data=####
- ecook-e####.b0.a####.com/file/ecook.apk
- m.e####.cn/app/download
Запросы HTTP POST:
- a.appj####.com/jiagu/check/upgrade
- c.appj####.com/ad/splash/stats.html
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/.jiagu/libjiagu.so
- <Package Folder>/cache/####/data_0
- <Package Folder>/cache/####/data_1
- <Package Folder>/cache/####/data_2
- <Package Folder>/cache/####/data_3
- <Package Folder>/cache/####/index
- <Package Folder>/databases/MessageStore.db-journal
- <Package Folder>/databases/MsgLogStore.db-journal
- <Package Folder>/databases/collectiondatabase
- <Package Folder>/databases/collectiondatabase-journal
- <Package Folder>/databases/ecookdatabase
- <Package Folder>/databases/ecookdatabase-journal
- <Package Folder>/databases/ua.db
- <Package Folder>/databases/ua.db-journal
- <Package Folder>/databases/webview.db-journal
- <Package Folder>/databases/webviewCookiesChromium.db-journal
- <Package Folder>/databases/webviewCookiesChromiumPrivate.db-journal
- <Package Folder>/files/####/.jg.ic
- <Package Folder>/files/####/a==7.3.1&&1.3.1_1510835487510_envelope.log
- <Package Folder>/files/####/d==7.3.1&&1.3.1_1510835487764_envelope.log
- <Package Folder>/files/####/d==7.3.1&&1.3.1_1510835492410_envelope.log
- <Package Folder>/files/####/d==7.3.1&&1.3.1_1510835496218_envelope.log
- <Package Folder>/files/####/exchangeIdentity.json
- <Package Folder>/files/.imprint
- <Package Folder>/files/exid.dat
- <Package Folder>/files/umeng_it.cache
- <Package Folder>/shared_prefs/Alvin2.xml
- <Package Folder>/shared_prefs/ContextData.xml
- <Package Folder>/shared_prefs/Ji.xml
- <Package Folder>/shared_prefs/UM_PROBE_DATA.xml
- <Package Folder>/shared_prefs/UserAgent.xml
- <Package Folder>/shared_prefs/ad_show_time.xml
- <Package Folder>/shared_prefs/cn.ecook.xml
- <Package Folder>/shared_prefs/info.xml
- <Package Folder>/shared_prefs/jg_app_update_settings_random.xml
- <Package Folder>/shared_prefs/lonLat.xml
- <Package Folder>/shared_prefs/multidex.version.xml
- <Package Folder>/shared_prefs/um_pri.xml
- <Package Folder>/shared_prefs/umeng_common_config.xml
- <Package Folder>/shared_prefs/umeng_general_config.xml
- <Package Folder>/shared_prefs/umeng_message_state.xml
- <SD-Card>/.DataStorage/ContextData.xml
- <SD-Card>/.UTSystemConfig/####/Alvin2.xml
- <SD-Card>/Android/####/.nomedia
- <SD-Card>/Android/####/371ijsqp9y7e6cl887jmycc97.tmp
- <SD-Card>/Android/####/3rr3l5sm0g2kc2eer0doi8d1o.tmp
- <SD-Card>/Android/####/3t11qmc49bj2ny9n19kyne592.tmp
- <SD-Card>/Android/####/4v3vohloncs8a62c8uhmkwx2u.tmp
- <SD-Card>/Android/####/5fv0ge6hgxyui8qkfthkdx2v0.tmp
- <SD-Card>/Android/####/5hh0boqszeqkfv6f8d5brh01c.tmp
- <SD-Card>/Download/ecook.apk
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- ls /
- ls /sys/class/thermal
Загружает динамические библиотеки:
- libjiagu
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- RSA
- RSA-ECB-NoPadding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS7Padding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к интерфейсу камеры.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации о настроках APN.
Отрисовывает собственные окна поверх других приложений.
