Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.SpyHK.2.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) p####.qq.com:80
- TCP(TLS/1.0) e.crashly####.com:443
- TCP(TLS/1.0) d####.fl####.com:443
- TCP(TLS/1.0) sett####.crashly####.com:443
- TCP(TLS/1.0) e####.api.liontr####.com:443
- TCP(TLS/1.0) ssl.google-####.com:443
Запросы DNS:
- apache####.e####.to
- d####.fl####.com
- e####.api.liontr####.com
- e.crashly####.com
- p####.qq.com
- sett####.crashly####.com
- ssl.google-####.com
Запросы HTTP GET:
- p####.qq.com/
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.YFlurrySenderIndex.info.AnalyticsData_9FWGTCBF...77_211
- /data/data/####/.YFlurrySenderIndex.info.AnalyticsMain
- /data/data/####/.jg.ic
- /data/data/####/.yflurrydatasenderblock.bb4c9113-ca1d-4ae2-99f1...519943
- /data/data/####/.yflurryreport.-249ddd73b83eaecb
- /data/data/####/5A0D86010363-0001-0808-2CFC814EC9EABeginSession.cls_temp
- /data/data/####/5A0D86010363-0001-0808-2CFC814EC9EASessionApp.cls_temp
- /data/data/####/5A0D86010363-0001-0808-2CFC814EC9EASessionDevice.cls_temp
- /data/data/####/5A0D86010363-0001-0808-2CFC814EC9EASessionOS.cls_temp
- /data/data/####/FLURRY_SHARED_PREFERENCES.xml
- /data/data/####/TwitterAdvertisingInfoPreferences.xml
- /data/data/####/com.crashlytics.prefs.xml
- /data/data/####/com.crashlytics.sdk.android;answers;settings.xml
- /data/data/####/com.crashlytics.settings.json
- /data/data/####/com.google.android.gms.analytics.prefs.xml
- /data/data/####/gaClientId
- /data/data/####/google_analytics_v4.db-journal
- /data/data/####/initialization_marker
- /data/data/####/io.fabric.sdk.android;fabric;a.a.a.a.q.xml
- /data/data/####/libjiagu.so
- /data/data/####/sa_4849cd83-82c8-47e7-ab9e-2ea56ea1dd16_1510835715213.tap
- /data/data/####/sa_a5912391-4c23-44ab-a30d-3fc559abb099_1510835715884.tap
- /data/data/####/session_analytics.tap
- /data/data/####/session_analytics.tap.tmp
- /data/media/####/.nomedia
- /data/media/####/journal.tmp
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- rm -r <SD-Card>/.fuck/
Загружает динамические библиотеки:
- JniFunc
- libjiagu
Использует следующие алгоритмы для шифрования данных:
- AES-ECB-PKCS7Padding
Использует следующие алгоритмы для расшифровки данных:
- DES
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Осуществляет доступ к информации о входящих/исходящих звонках.
Осуществляет доступ к информации об отправленых/принятых смс.
