Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.589.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) cdn.img.fly####.####.com:80
- TCP(TLS/1.0) w####.che####.top:443
- TCP(TLS/1.0) api.face####.com:443
- TCP(TLS/1.0) d####.fl####.com:443
- TCP(TLS/1.0) sett####.crashly####.com:443
Запросы DNS:
- cdn.app.zad####.cn
- cdn.img.fly####.top
- d####.fl####.com
- g####.face####.com
- mt####.go####.com
- sett####.crashly####.com
- w####.che####.top
Запросы HTTP GET:
- cdn.img.fly####.####.com/upload/201711/29/img/20171129172413161.png
- cdn.img.fly####.####.com/upload/201802/24/app/20180224104650873.apk
- cdn.img.fly####.####.com/upload/201802/24/img/20180224104641768.png
- cdn.img.fly####.####.com/upload/201803/15/img/20180315182219548.png
- cdn.img.fly####.####.com/upload/201803/19/img/20180319160755997.png
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/.jiagu/libjiagu.so
- <Package Folder>/cache/####/0429f68cda8c4d8d96497f210e5a1c1e54c....0.tmp
- <Package Folder>/cache/####/15cc9609dfdcaa98b0afe43cb8253b11ffe....0.tmp
- <Package Folder>/cache/####/19f3b6fe3301261334dfaf7c0c46543303b....0.tmp
- <Package Folder>/cache/####/1b0e56b6dc2c52ff9462dcc40722debdad1....0.tmp
- <Package Folder>/cache/####/1e0c6489ac724e210ebaf8d221d87edeb15....0.tmp
- <Package Folder>/cache/####/23b88b7df78f722cb6db8fdd9ea37f8629d....0.tmp
- <Package Folder>/cache/####/2c5415115041fa0e171c5ee7e4eb8407c84....0.tmp
- <Package Folder>/cache/####/396e641c53edbbf53c56c2e5659efeb77b8....0.tmp
- <Package Folder>/cache/####/3bfd8db8ae5d394983c0f8fe2378b6c925e....0.tmp
- <Package Folder>/cache/####/4171194808ad16249372255bb1fec7be047....0.tmp
- <Package Folder>/cache/####/5ffc59c850e64456d426f7d03a1d53e63ae....0.tmp
- <Package Folder>/cache/####/79403824125e7d93e633f06d96daaeb0ca1....0.tmp
- <Package Folder>/cache/####/7fd97527d5564fada24805697872c03b46b....0.tmp
- <Package Folder>/cache/####/834272731c9cacc723217d0bcb78c9492a1....0.tmp
- <Package Folder>/cache/####/8cfb68aba34c0efc5a41931b0402f0eb451....0.tmp
- <Package Folder>/cache/####/a68e34ade4fbd7cf48f428f78bcd1ca59eb....0.tmp
- <Package Folder>/cache/####/b352e107fc8dc52a65a41e1925291750cdd....0.tmp
- <Package Folder>/cache/####/b6627cfd586ccbecacb4cbef1917b06d945....0.tmp
- <Package Folder>/cache/####/ba44310428e261b1eaa5e613c00d98aaecd....0.tmp
- <Package Folder>/cache/####/c22f614e266d7c05ce50e439fe449be897b....0.tmp
- <Package Folder>/cache/####/c9dde7ffeadb76761b74a0e8a6c32a1367e....0.tmp
- <Package Folder>/cache/####/cb26e0a533f5c4db4f39c6c02cbbdbb148d....0.tmp
- <Package Folder>/cache/####/cb6ce8951a385f063dd14e321c944b709ad....0.tmp
- <Package Folder>/cache/####/cdaefe538575e79356836be5fcae7ca5033....0.tmp
- <Package Folder>/cache/####/ce4f9e433964ee09bae950def5ac8dd48fe....0.tmp
- <Package Folder>/cache/####/d4bdbd97a2564914da4f45eadd6014e0711....0.tmp
- <Package Folder>/cache/####/d6f3c5d62c03a4cc31b8185c313d423e99f....0.tmp
- <Package Folder>/cache/####/e148e5cc5e792e831669d7612363ec7c331....0.tmp
- <Package Folder>/cache/####/journal.tmp
- <Package Folder>/databases/webview.db-journal
- <Package Folder>/databases/x_h.db-journal
- <Package Folder>/files/####/.jg.ic
- <Package Folder>/files/####/5A0D85B9005F-0001-0820-CEF4FF817A0A...s_temp
- <Package Folder>/files/####/5A0D85BA0298-0001-0855-CEF4FF817A0A...on.cls
- <Package Folder>/files/####/5A0D85BA0298-0001-0855-CEF4FF817A0A...s_temp
- <Package Folder>/files/####/com.crashlytics.settings.json
- <Package Folder>/files/####/initialization_marker
- <Package Folder>/files/####/sa_a80c281f-d152-4555-9b35-5bb407d7...12.tap
- <Package Folder>/files/####/session_analytics.tap
- <Package Folder>/files/####/session_analytics.tap (deleted)
- <Package Folder>/files/####/session_analytics.tap.tmp
- <Package Folder>/files/.YFlurrySenderIndex.info.AnalyticsData_S...5F_216
- <Package Folder>/files/.YFlurrySenderIndex.info.AnalyticsMain
- <Package Folder>/files/.yflurrydatasenderblock.89461e21-9bb8-4d...4865b5
- <Package Folder>/files/.yflurryreport.32574b3084d3c82c
- <Package Folder>/files/ll.jar
- <Package Folder>/files/wv.jar
- <Package Folder>/shared_prefs/<Package>_preferences.xml
- <Package Folder>/shared_prefs/FLURRY_SHARED_PREFERENCES.xml
- <Package Folder>/shared_prefs/TwitterAdvertisingInfoPreferences.xml
- <Package Folder>/shared_prefs/a.xml
- <Package Folder>/shared_prefs/ar.xml
- <Package Folder>/shared_prefs/com.crashlytics.prefs.xml
- <Package Folder>/shared_prefs/com.crashlytics.sdk.android;answe...gs.xml
- <Package Folder>/shared_prefs/dsi.xml
- <Package Folder>/shared_prefs/io.fabric.sdk.android;fabric;c.a.a.a.m.xml
- <Package Folder>/shared_prefs/isfirst.xml
- <Package Folder>/shared_prefs/sv.xml (deleted)
- <SD-Card>/Android/####/.nomedia
- <SD-Card>/Android/####/01a5f3aab3060
- <SD-Card>/Android/####/8e0bc5684df836216c036d9320a8db2a.apk
- <SD-Card>/Android/####/a1b663bc2b4ad
- <SD-Card>/Android/####/b.tmp
- <SD-Card>/Android/####/beat_your_competition.m4a.tmp
- <SD-Card>/Android/####/cdffef9074ef5
- <SD-Card>/Android/####/close_my_mouth.m4a.tmp
- <SD-Card>/Android/####/f1e0248be7316
- <SD-Card>/Android/####/payday.wav.tmp
- <SD-Card>/Android/####/plain_truth.m4a.tmp
- <SD-Card>/Android/####/someone_your_own_size.m4a.tmp
- <SD-Card>/Android/####/spring_in_my_step.m4a.tmp
- <SD-Card>/Android/####/west.m4a.tmp
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- chmod 777 /storage/emulated/0/Android/data/<Package>/files/Download/spark/b/8e0bc5684df836216c036d9320a8db2a.apk
Загружает динамические библиотеки:
- libjiagu
Использует следующие алгоритмы для расшифровки данных:
- DES
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
