Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Downloader.140.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(HTTP/1.1) ifco####.me:80
- TCP(TLS/1.0) api.growi####.com:443
- TCP(TLS/1.0) sh.wagbr####.alibaba####.com:443
- TCP(TLS/1.0) m####.9####.cn.####.com:443
- TCP(TLS/1.0) se####.douge####.com:443
- TCP(TLS/1.0) fp.fraudme####.cn:443
- TCP(TLS/1.0) s####.j####.cn:443
- TCP(TLS/1.0) w####.q####.all.####.com:443
- TCP(TLS/1.0) d506####.cdn.uc####.####.cn:443
- TCP(TLS/1.0) cras####.growi####.com:443
- TCP(TLS/1.0) app.9####.cn.####.com:443
- TCP(TLS/1.0) t####.growi####.com:443
- TCP(TLS/1.0) t.growi####.com:443
- TCP(TLS/1.0) sh.wagbr####.ta####.com:443
- TCP 1####.229.215.31:7000
- TCP 1####.46.25.202:7002
- UDP s.j####.cn:19000
Запросы DNS:
- and####.b####.qq.com
- api.growi####.com
- apis-ho####.ta####.com
- app.9####.cn
- as####.growi####.com
- cras####.growi####.com
- dn-gro####.q####.me
- f####.9####.cn
- fp.fraudme####.cn
- ifco####.me
- log.u####.com
- m####.9####.cn
- s####.j####.cn
- s####.u####.com
- s.j####.cn
- se####.douge####.com
- t####.growi####.com
- t.growi####.com
Запросы HTTP GET:
- ifco####.me/ip
Запросы HTTP POST:
- and####.b####.qq.com/rqd/async?aid=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.log.lock
- /data/data/####/.log.ls
- /data/data/####/1004
- /data/data/####/1510835540287.log
- /data/data/####/1510835540287.log.bak
- /data/data/####/Alvin2.xml
- /data/data/####/CJ8gj4I_HL5obDBSdzjj9_rmdQE.-736438571.tmp
- /data/data/####/ContextData.xml
- /data/data/####/IxBzZer-MhtxPzHkkSAmV3Dty50.192246668.tmp
- /data/data/####/JPushSA_Config.xml
- /data/data/####/Vn1CY8Zo8hdCCIVJ_kKVJoQVKfk.-1733420708.tmp
- /data/data/####/_andfix_.xml
- /data/data/####/appPackageNames
- /data/data/####/bugly_db_-journal
- /data/data/####/cn.jpush.android.user.profile.xml
- /data/data/####/cn.jpush.preferences.v2.xml
- /data/data/####/cn.jpush.preferences.v2.xml.bak
- /data/data/####/com.eten.myriches.xml
- /data/data/####/com.eten.myriches;pushcore.growing.db
- /data/data/####/com.eten.myriches;pushcore.growing.db-journal
- /data/data/####/com.eten.myriches_preferences.xml
- /data/data/####/crashrecord.xml
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/f_000004
- /data/data/####/f_000005
- /data/data/####/f_000006
- /data/data/####/f_000007
- /data/data/####/f_000008
- /data/data/####/f_000009
- /data/data/####/f_00000a
- /data/data/####/f_00000b
- /data/data/####/f_00000c
- /data/data/####/f_00000d
- /data/data/####/f_00000e
- /data/data/####/f_00000f
- /data/data/####/f_000010
- /data/data/####/f_000011
- /data/data/####/f_000012
- /data/data/####/f_000013
- /data/data/####/f_000014
- /data/data/####/f_000015
- /data/data/####/f_000016
- /data/data/####/fm_shared.xml
- /data/data/####/growing.db
- /data/data/####/growing.db-journal
- /data/data/####/growing_persist_data.xml
- /data/data/####/growing_profile.xml
- /data/data/####/growingio_diagnose.xml
- /data/data/####/index
- /data/data/####/jpush_device_info.xml
- /data/data/####/jpush_local_notification.db
- /data/data/####/jpush_local_notification.db-journal
- /data/data/####/jpush_stat_cache.json
- /data/data/####/jpush_stat_cache_history.json
- /data/data/####/jpush_statistics.db
- /data/data/####/jpush_statistics.db-journal
- /data/data/####/libjiagu.so
- /data/data/####/local_crash_lock
- /data/data/####/multidex.version.xml
- /data/data/####/security_info
- /data/data/####/showcase_internal.xml
- /data/data/####/umeng_socialize.xml
- /data/data/####/vds_hybrid.min.js
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/.fraudmetrixid
- /data/media/####/.push_deviceid
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop
- /system/bin/sh -c type su
- chmod 444 /storage/emulated/0/.fraudmetrixid
- chmod 444 /storage<SD-Card>0/.fraudmetrixid
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- getprop
- getprop net.dns1
- ls -l /system/bin/su
- ls -l /system/xbin/su
Загружает динамические библиотеки:
- Bugly
- imagepipeline
- jcore110
- libjiagu
- nativeEncrypt
Использует следующие алгоритмы для шифрования данных:
- AES
- AES-CBC-NoPadding
- AES-CBC-PKCS5Padding
- AES-ECB-PKCS7Padding
- AES-GCM-NoPadding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-ECB-NoPadding
- AES-GCM-NoPadding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
