Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Adware.Plague.1.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.0) th.pen####.com:80
- TCP(HTTP/1.1) c.appj####.com:80
- TCP(HTTP/1.1) adf####.b0.a####.com:80
- TCP(TLS/1.0) ws.b####.com:443
- TCP(TLS/1.0) ssl.google-####.com:443
Запросы DNS:
- c.appj####.com
- s.pen####.com
- ssl.google-####.com
- th.pen####.com
- ws.b####.com
Запросы HTTP GET:
- adf####.b0.a####.com/1465986050709.png
- adf####.b0.a####.com/1484814498679.png
- adf####.b0.a####.com/1484814500183.jpg
- adf####.b0.a####.com/1485178467236.png
- adf####.b0.a####.com/1488270906514.png
- adf####.b0.a####.com/1488270907362.jpg
- adf####.b0.a####.com/1495772332105.png
- adf####.b0.a####.com/1497405687561.png
- adf####.b0.a####.com/1499392413799.png
- adf####.b0.a####.com/1499392414953.jpg
- adf####.b0.a####.com/1502960321637.png
- adf####.b0.a####.com/1511247852630.png
- adf####.b0.a####.com/1516609995667.png
- adf####.b0.a####.com/1516609996839.jpg
- adf####.b0.a####.com/1517306073756.png
- adf####.b0.a####.com/1517536969452.apk
- adf####.b0.a####.com/1518080603121.apk
- adf####.b0.a####.com/1521169634003.apk
- adf####.b0.a####.com/1521184867490.apk
- adf####.b0.a####.com/1521433530869.apk
Запросы HTTP POST:
- c.appj####.com/ad/splash/stats.html
- th.pen####.com/a
- th.pen####.com/b
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/.jiagu/libjiagu.so
- <Package Folder>/app_jgls/.log.lock
- <Package Folder>/app_jgls/.log.ls
- <Package Folder>/app_rhaclasses.jar
- <Package Folder>/databases/ba_tr.db-journal
- <Package Folder>/databases/dbykeps-journal
- <Package Folder>/databases/google_analytics_v4.db-journal
- <Package Folder>/databases/webview.db-journal
- <Package Folder>/files/####/.jg.ic
- <Package Folder>/files/gaClientId
- <Package Folder>/files/slj
- <Package Folder>/shared_prefs/<Package>.appad.xml
- <Package Folder>/shared_prefs/<Package>.appirater2.xml
- <Package Folder>/shared_prefs/bastion_kv.xml
- <Package Folder>/shared_prefs/com.google.android.gms.analytics.prefs.xml
- <Package Folder>/shared_prefs/jg_app_update_settings_random.xml
- <SD-Card>/Download/####/1465986050709.png.dat
- <SD-Card>/Download/####/1484814498679.png.dat
- <SD-Card>/Download/####/1484814500183.jpg.dat
- <SD-Card>/Download/####/1485178467236.png.dat
- <SD-Card>/Download/####/1488270906514.png.dat
- <SD-Card>/Download/####/1488270907362.jpg.dat
- <SD-Card>/Download/####/1495772332105.png.dat
- <SD-Card>/Download/####/1497405687561.png.dat
- <SD-Card>/Download/####/1499392413799.png.dat
- <SD-Card>/Download/####/1499392414953.jpg.dat
- <SD-Card>/Download/####/1502960321637.png.dat
- <SD-Card>/Download/####/1511247852630.png.dat
- <SD-Card>/Download/####/1516609995667.png.dat
- <SD-Card>/Download/####/1516609996839.jpg.dat
- <SD-Card>/Download/####/1517306073756.png.dat
- <SD-Card>/Download/####/1517536969452.apk.dat
- <SD-Card>/Download/####/1518080603121.apk.dat
- <SD-Card>/Download/####/1521169634003.apk.dat
- <SD-Card>/Download/####/1521184867490.apk.dat
- <SD-Card>/Download/####/1521433530869.apk.dat
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- chmod 777 /storage/emulated/0/download/apk/1521169634003.apk.dat
- chmod 777 /storage/emulated/0/download/apk/1521184867490.apk.dat
- chmod 777 /storage/emulated/0/download/apk/1521433530869.apk.dat
Загружает динамические библиотеки:
- libjiagu
- sketch-library
- ykyj
Использует следующие алгоритмы для шифрования данных:
- AES-ECB-PKCS5Padding
- DES-ECB-PKCS5Padding
- RSA
Использует следующие алгоритмы для расшифровки данных:
- AES-ECB-PKCS5Padding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
