Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Backdoor.657.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) api.s####.mob.com:80
- TCP(HTTP/1.1) a####.exc.mob.com:80
Запросы DNS:
- a####.exc.mob.com
- api.s####.mob.com
Запросы HTTP POST:
- a####.exc.mob.com/errconf
- a####.exc.mob.com/errlog
- api.s####.mob.com/conf5
- api.s####.mob.com/conn
- api.s####.mob.com/snsconf
Изменения в файловой системе:
Создает следующие файлы:
- /data/anr/traces.txt
- /data/data/####/.lock
- /data/data/####/.mrecord
- /data/data/####/.mrlock
- /data/data/####/.statistics
- /data/data/####/ACCS_SDK.xml
- /data/data/####/Agoo_AppStore.xml
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/MessageStore.db-journal
- /data/data/####/MsgLogStore.db-journal
- /data/data/####/ThrowalbeLog.db-journal
- /data/data/####/UM_PROBE_DATA.xml
- /data/data/####/accs.db-journal
- /data/data/####/com.google.android.gms.analytics.prefs.xml
- /data/data/####/com.google.android.gms.analytics.prefs.xml (deleted)
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/google_analytics_v4.db-journal
- /data/data/####/i==1.2.0&&13.7.6_1510835483838_envelope.log
- /data/data/####/info.xml
- /data/data/####/libcuid.so
- /data/data/####/libjiagu.so
- /data/data/####/mob_sdk_exception_1
- /data/data/####/multidex.version.xml
- /data/data/####/share_sdk_1
- /data/data/####/umeng_common_config.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/umeng_message_state.xml
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/webviewCookiesChromiumPrivate.db-journal
- /data/media/####/.cuid
- /data/media/####/.cuid2
- /data/media/####/.dic_lock
- /data/media/####/.globalLock
- /data/media/####/.pkg_lock
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/inapp_20171116.log
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- ls /
- ls /sys/class/thermal
- ps 2087
- ps 2174
- ps 2192
- ps 2299
- ps 2405
- ps 2478
- ps 2496
- ps 2604
- ps 2676
- ps 2756
- ps 2829
- ps 2847
- ps 2956
- ps 3029
Загружает динамические библиотеки:
- libjiagu
- neh
- tnet-3.1
- tusdk-library
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-ECB-NoPadding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
