Android.Backdoor.938

Техническая информация

Вредоносные функции:

Загружает на исполнение код следующих детектируемых угроз:

Android.Backdoor.618.origin

Сетевая активность:

Подключается к:

UDP(DNS) <Google DNS>
TCP(HTTP/1.1) www.vt####.com:80
TCP(HTTP/1.1) upload####.vt####.com:80

Запросы DNS:

api.vt####.com
c####.app.vt####.com
upload####.vt####.com

Запросы HTTP GET:

upload####.vt####.com/2016/0818/201608182316225524.jpeg
upload####.vt####.com/2016/0818/5fa3ef422bf78a3b652d383eb7fb82e1_thumb.jpg
upload####.vt####.com/2016/0818/caf3d8b324a6f039245ab1a42fc23a1d_thumb.jpg
upload####.vt####.com/2016/0818/e4127aa85690e6a51dcc06c6dfa3bbda_thumb.jpg
upload####.vt####.com/2016/0824/201608241324381164.jpg
upload####.vt####.com/2016/0904/201609041803188785.jpg
upload####.vt####.com/2016/1121/e941f11194166e7e435b4a391335f910_thumb.j...
upload####.vt####.com/2016/1216/e56deae29d34de15656ebdbb10b484c8_thumb.j...
upload####.vt####.com/2016/1222/390656113078e1f40af8702f1bb03dba_thumb.jpg
upload####.vt####.com/2017/0223/3be68a85307e512a0d4246e1520acd1a_thumb.jpg
upload####.vt####.com/2017/0223/5b885191b7b010c98044d4bbc88568a9_thumb.jpg
upload####.vt####.com/2018/0208/201802081048377172.jpg
upload####.vt####.com/2018/0208/cd78cef7f35e68dd05b9917e6fb802b2_thumb.jpg
upload####.vt####.com/2018/0313/201803131141136119.jpg
upload####.vt####.com/2018/0313/acb490717f54b160a34b712facfe86c9_thumb.png
upload####.vt####.com/2018/0313/eaab2b07f01a31232f4f838cdf047705_thumb.jpg
upload####.vt####.com/2018/0316/15ab25f8210302e7b9f0160d84a585cc_thumb.jpg
upload####.vt####.com/2018/0316/201803161820139151.jpg
upload####.vt####.com/2018/0316/201803161832345142.jpg
upload####.vt####.com/2018/0316/201803161834597529.jpg
upload####.vt####.com/2018/0316/63b30fcea3be87dcd72cabf4b31ad282_thumb.jpg
upload####.vt####.com/2018/0316/7ac3e9d094e441043f616119d911573b_thumb.jpg
upload####.vt####.com/2018/0316/8c890bd4432942f77f379b45a413737a_thumb.jpg
upload####.vt####.com/2018/0316/9aece8eaa00e7e935cfe23d36ab06808_thumb.jpg
upload####.vt####.com/2018/0316/a0436458212188b4b9f78d691cddc0bd_thumb.jpg
upload####.vt####.com/2018/0316/f16299c17937d5e77aa830725e042caa_thumb.jpg
upload####.vt####.com/api/ip
upload####.vt####.com/content/get_data?id=####
upload####.vt####.com/content/list_hot?count=####&v=####
upload####.vt####.com/content/list_hot?type=####&offset=####
www.vt####.com/api/load_channel_info
www.vt####.com/content/list_category?t=####
www.vt####.com/content/list_data?offset=####&catid=####

Изменения в файловой системе:

Создает следующие файлы:

/data/data/####/.jg.ic
/data/data/####/d.db-journal
/data/data/####/data_0
/data/data/####/data_1
/data/data/####/data_2
/data/data/####/data_3
/data/data/####/f_000001
/data/data/####/f_000002
/data/data/####/f_000003
/data/data/####/f_000004
/data/data/####/f_000005
/data/data/####/f_000006
/data/data/####/f_000007
/data/data/####/index
/data/data/####/libjiagu.so
/data/data/####/webview.db-journal
/data/data/####/webviewCookiesChromium.db-journal

Другие:

Запускает следующие shell-скрипты:

chmod 755 <Package Folder>/.jiagu/libjiagu.so

Загружает динамические библиотеки:

libjiagu

Использует специальную библиотеку для скрытия исполняемого байткода.

Осуществляет доступ к информации о сети.

Отрисовывает собственные окна поверх других приложений.

Демо бесплатно на 14 дней

Выдаётся при установке

Скачать с сайта

Скачать с Google Play

Поздравляем! Обменяйте их на скидку до 50% на покупку Dr.Web.

Получить скидку

Скачайте
Dr.Web для Android

Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через
AppGallery/Google Pay

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней