Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Adware.Dowgin.14.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) hi.bi.h####.cn:80
- TCP(HTTP/1.1) a.appj####.com:80
Запросы DNS:
- a####.u####.com
- a.appj####.com
- hi.bi.h####.cn
Запросы HTTP POST:
- a####.u####.com/app_logs
- a.appj####.com/ad-service/ad/mark
- hi.bi.h####.cn/b071/5360f/pb0
- hi.bi.h####.cn/b071/5360f/q53
- hi.bi.h####.cn/b071/5360f/t0f
- hi.bi.h####.cn/b071/5360f/w36
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/a5b1b54d.xml
- /data/data/####/jg_app_update_settings_random.xml
- /data/data/####/libjiagu.so
- /data/data/####/mobclick_agent_header_com.kingsoft.dxjxrr951.xml
- /data/data/####/mobclick_agent_state_com.kingsoft.dxjxrr951.xml
- /data/data/####/org.dshf.pjjwe.jar
Другие:
Запускает следующие shell-скрипты:
- app_process /system/bin com.android.commands.pm.Pm uninstall com.android.htmlviewer
- chmod 755 <Package Folder>/files/libjiagu.so
- chmod 777 /data/app/<Package>-1.apk
- id
- rm -rf /system/app/HTMLViewer.apk
- rm -rf /system/app/HTMLViewer.odex
- rm -rf datadatacom.android.htmlviewer
- sh
- su
Загружает динамические библиотеки:
- libjiagu
Использует следующие алгоритмы для шифрования данных:
- DES
Использует следующие алгоритмы для расшифровки данных:
- DES
Использует повышенные привилегии.
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
