Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.657.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) api-art####.tub####.com:80
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) r####.yy.com:80
- TCP(HTTP/1.1) cdn.app.dn####.####.com:80
- TCP(HTTP/1.1) api-res####.tub####.com:80
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(HTTP/1.1) 47.92.1####.96:80
- TCP(HTTP/1.1) d14uy7w####.cloudf####.net:80
- TCP(HTTP/1.1) cdn.game####.org:80
- TCP(HTTP/1.1) 1####.76.224.67:80
- TCP(HTTP/1.1) miniwor####.h####.com:80
- TCP(HTTP/1.1) int.d####.s####.####.cn:80
- TCP(TLS/1.0) co####.h####.com:443
- TCP(TLS/1.0) 1####.217.17.110:443
- TCP(TLS/1.0) v####.dn####.top:443
- TCP(TLS/1.0) m####.tub####.com:443
Запросы DNS:
- a####.u####.com
- and####.b####.qq.com
- api-art####.tub####.com
- api-min####.tub####.com
- api-res####.tub####.com
- api-tie####.tub####.com
- cdn.app.dn####.top
- cdn.app.h####.top
- cdn.game####.org
- cdn.img.h####.top
- co####.h####.com
- d14uy7w####.cloudf####.net
- int.d####.s####.####.cn
- m####.tub####.com
- miniwor####.h####.com
- r####.yy.com
- v####.dn####.top
Запросы HTTP GET:
- api-art####.tub####.com/api/m/mc/v6/ads/201-0-1---.html?t=####
- api-art####.tub####.com/api/m/mc/v6/ads/204-0-1---.html?t=####
- api-art####.tub####.com/api/m/mc/v6/ads/22-0-1---.html?t=####
- api-art####.tub####.com/api/m/mc/v6/ads/25-0-1---.html?t=####
- api-art####.tub####.com/api/m/mc/v6/ads/82-1-1---.html?support=####&t=####
- api-art####.tub####.com/api/m/mc/v6/ads/85-1-1---.html?support=####&t=####
- api-art####.tub####.com/api/m/mc/v6/article/list/1/---1-20.html?t=####
- api-art####.tub####.com/api/m/mc/v6/article/recommend_cache.html?t=####
- api-art####.tub####.com/api/m/mc/v6/article/types/sub-_cache.html?t=####
- api-art####.tub####.com/api/m/mc/v6/tieba/group/forbid/reason_cache.html...
- api-art####.tub####.com/api/m/mc/v6/tieba/list-1-20.html?t=####
- api-art####.tub####.com/api/m/mc/v6/tieba/tie/listWithReplyTime-1-20-7-....
- api-art####.tub####.com/api/m/mc/v6/tieba/tie/recommend-1-20--.html?t=####
- api-art####.tub####.com/api/m/mc/v6/tieba/tie/topest-7-.html?t=####
- api-art####.tub####.com/api/m/mc/v6/tieba/tie/view-8977-1-20--0.html?t=#...
- api-art####.tub####.com/api/m/mc/v6/video/recom/index_cache.html?t=####
- api-res####.tub####.com/api/m/mc/v6/ads/207-0-1---.html?t=####
- api-res####.tub####.com/api/m/mc/v6/ads/79-1-1---.html?support=####&t=####
- api-res####.tub####.com/api/m/mc/v6/mcbox-config/config-module-new-v2?t=...
- api-res####.tub####.com/api/m/mc/v6/mcbox-config/config-msg-rela-az?t=####
- api-res####.tub####.com/api/m/mc/v6/mcbox-config/config?t=####
- api-res####.tub####.com/api/m/mc/v6/resources/1/getMcResByDay-1-20-1.htm...
- api-res####.tub####.com/api/m/mc/v6/resources/types/getTypesOnly-1-1.htm...
- cdn.app.dn####.####.com/sfile/201803/30/all/cp_V3.1.2.txt
- cdn.app.dn####.####.com/upload/201803/30/app/20180330175028917.apk
- cdn.app.dn####.####.com/upload/201803/30/img/20180330175025341.png
- cdn.game####.org/strategy/UnknownDev
- cdn.game####.org/strategy/base
- cdn.game####.org/strategy/dev_root
- cdn.game####.org/strategy/dev_root2
- cdn.game####.org/strategy/larger4.3
- cdn.game####.org/strategy/loss_4.3
- cdn.game####.org/strategy/sul18
- cdn.game####.org/strategy/symlink-adbd
- d14uy7w####.cloudf####.net/download/key
- int.d####.s####.####.cn/iplookup/iplookup.php?format=####&ip192.1####
- miniwor####.h####.com//images/common/final/grade/lv5.png
- miniwor####.h####.com/minibox/face/201712/21/212211/107119.jpg?t=####
- miniwor####.h####.com/minibox/face/201801/05/202402/100179.jpg?t=####
- miniwor####.h####.com/minibox/images/tieba/201803/02/073726/1267493408/1...
- miniwor####.h####.com/minibox/images/tieba/201803/07/231647/1053199218/1...
- miniwor####.h####.com/minibox/images/tieba/201803/30/121356/536479151/10...
- miniwor####.h####.com/miniworldbox/images/article/201711/14/151065865442...
- miniwor####.h####.com/miniworldbox/images/article/201711/29/151194602843...
- miniwor####.h####.com/miniworldbox/images/article/201712/21/151384962302...
- miniwor####.h####.com/miniworldbox/images/article/201801/05/151512256727...
- miniwor####.h####.com/miniworldbox/images/article/201801/11/151564894314...
- miniwor####.h####.com/miniworldbox/images/article/201801/15/151599753805...
- miniwor####.h####.com/miniworldbox/images/article/201801/24/151676165187...
- miniwor####.h####.com/miniworldbox/images/article/201801/26/151694031777...
- miniwor####.h####.com/miniworldbox/images/common/201711/13/1510560884825...
- miniwor####.h####.com/miniworldbox/images/common/201711/13/1510561085237...
- miniwor####.h####.com/miniworldbox/images/common/201711/16/1510807602671...
- miniwor####.h####.com/miniworldbox/images/common/201712/19/1513682675490...
Запросы HTTP POST:
- a####.u####.com/app_logs
- and####.b####.qq.com/rqd/async?aid=####
- r####.yy.com/ws/network.do?type=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/02002e12f5ca300a444d16d0b21c0823.0.tmp
- /data/data/####/02002e12f5ca300a444d16d0b21c0823.1.tmp
- /data/data/####/0b69e21fbe46da1d0cf2bf340aec7d81.0.tmp
- /data/data/####/0b69e21fbe46da1d0cf2bf340aec7d81.1.tmp
- /data/data/####/0cefee5b-aa74-4f0c-bad7-57b6dbf43a76
- /data/data/####/0fca8c23-da84-4be2-b71b-1591163f9b5a
- /data/data/####/1002
- /data/data/####/1004
- /data/data/####/1740c449fc10be62df60ba0f18696c9f
- /data/data/####/1b405d3e354a81f5941b484977821f08.0.tmp
- /data/data/####/1b405d3e354a81f5941b484977821f08.1.tmp
- /data/data/####/27396f9f570bd8837a55537a4716ec0e.0.tmp
- /data/data/####/27396f9f570bd8837a55537a4716ec0e.1.tmp
- /data/data/####/286036aed75c65ab0987b6231625bd66.0.tmp
- /data/data/####/286036aed75c65ab0987b6231625bd66.1.tmp
- /data/data/####/29f01865b230f2c09941685eed9a7e26.0.tmp
- /data/data/####/29f01865b230f2c09941685eed9a7e26.1.tmp
- /data/data/####/2c5011e956a1cc49e2dd384a42788ba0.0.tmp
- /data/data/####/2c5011e956a1cc49e2dd384a42788ba0.1.tmp
- /data/data/####/2ee15cc2f6409e9ef0bbcc08c240a39a.0.tmp
- /data/data/####/2ee15cc2f6409e9ef0bbcc08c240a39a.1.tmp
- /data/data/####/2fab7bcbcf8db376b57f1933883c7871.0.tmp
- /data/data/####/2fab7bcbcf8db376b57f1933883c7871.1.tmp
- /data/data/####/315ac04b1e69db423fcbfbf2635d8ae5.0.tmp
- /data/data/####/315ac04b1e69db423fcbfbf2635d8ae5.1.tmp
- /data/data/####/32edd79a240b5f1e461d069caab1ec3e
- /data/data/####/55218083-6e98-44fa-b0ca-0b142b515220
- /data/data/####/609acab72bea38eeae88dfb59098d65d.0.tmp
- /data/data/####/609acab72bea38eeae88dfb59098d65d.1.tmp
- /data/data/####/67c9a60a60bf0d733f34635faed3e455.0.tmp
- /data/data/####/67c9a60a60bf0d733f34635faed3e455.1.tmp
- /data/data/####/81e740b5de0f76bfc78977d7956000e0.0.tmp
- /data/data/####/81e740b5de0f76bfc78977d7956000e0.1.tmp
- /data/data/####/8b6f263391259b7a8e5f58ee71852ca8
- /data/data/####/8d146236ebc29c0ab5a96b8cfc91f390.0.tmp
- /data/data/####/8d146236ebc29c0ab5a96b8cfc91f390.1.tmp
- /data/data/####/8ef030b3-f9e5-4183-a435-47a991eea83d
- /data/data/####/8fc92fcd96c6a1791c6a2a454bf3b07b.0.tmp
- /data/data/####/8fc92fcd96c6a1791c6a2a454bf3b07b.1.tmp
- /data/data/####/919219e5-522f-4558-a9cc-c8dee55032e2
- /data/data/####/93f85a94-62ce-4d65-957c-21f8b5b6e6de.jar
- /data/data/####/99668149ca3b43b4b55f56b025a409c3.0.tmp
- /data/data/####/99668149ca3b43b4b55f56b025a409c3.1.tmp
- /data/data/####/9c554d98-25e2-40b5-abf3-18559c8c107c
- /data/data/####/Agoo_AppStore.xml
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/Matrix
- /data/data/####/MessageStore.db-journal
- /data/data/####/MsgLogStore.db-journal
- /data/data/####/SUBOXLOG_
- /data/data/####/V3.1.2.txt
- /data/data/####/V3.1.2.xml
- /data/data/####/aa755968-4ee3-4e41-930b-4be620bc4b89
- /data/data/####/accs.db-journal
- /data/data/####/al.jar
- /data/data/####/b0141e478b25af7c40a8cca8de6c4708
- /data/data/####/b08c89d24afdc520143ac26c166c1381.0.tmp
- /data/data/####/b08c89d24afdc520143ac26c166c1381.1.tmp
- /data/data/####/b18a021d11a3004d25017230b681476b
- /data/data/####/bugly_db_-journal
- /data/data/####/c61913b615fb6224701377a119081f36
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/com.jfghjfhjgk.wfegf.BETA_VALUES.xml
- /data/data/####/com.jfghjfhjgk.wfegf_preferences.xml
- /data/data/####/crashrecord.xml
- /data/data/####/d4fea370-03f4-4b75-9471-db3ef30ed18a
- /data/data/####/d7a39040-784b-472a-9ea7-bc9b53ce9b9e
- /data/data/####/ddexe
- /data/data/####/debuggerd
- /data/data/####/device.db
- /data/data/####/e6471d676a46516257803f717a56d182.0.tmp
- /data/data/####/e6471d676a46516257803f717a56d182.1.tmp
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/fileWork
- /data/data/####/hd_default_pref.xml
- /data/data/####/hdcommon_config_cache_pref.xml
- /data/data/####/inittime.xml
- /data/data/####/install-recovery.sh
- /data/data/####/journal.tmp
- /data/data/####/kr.xml
- /data/data/####/libjiagu.so
- /data/data/####/minibox.db-journal
- /data/data/####/multidex.version.xml
- /data/data/####/native_record_lock
- /data/data/####/pidof
- /data/data/####/root3
- /data/data/####/sd.jar
- /data/data/####/security_info
- /data/data/####/sp_vip_definition.xml
- /data/data/####/su
- /data/data/####/supolicy
- /data/data/####/t_u.db-journal
- /data/data/####/toolbox
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/user_cookie.xml
- /data/data/####/userinfo.xml
- /data/data/####/vbz.xml
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/webviewCookiesChromiumPrivate.db-journal
- /data/data/####/wsroot.sh
- /data/data/####/yyudb2.xml
- /data/media/####/30cadde9de572
- /data/media/####/7530c8d5d2345d7e7462d8ffe75385ca.apk
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/b.tmp
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop
- /system/bin/sh -c type su
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- chmod 777 /storage/emulated/0/Android/data/<Package>/files/Download/Android/azb/7530c8d5d2345d7e7462d8ffe75385ca.apk
- chmod 777 Matrix ddexe debuggerd device.db fileWork install-recovery.sh pidof root3 su supolicy toolbox wsroot.sh
- chmod 777 Matrix ddexe debuggerd fileWork install-recovery.sh pidof su supolicy toolbox wsroot.sh
- getprop
- sh
Загружает динамические библиотеки:
- Bugly
- hiidostatisjni
- libjiagu
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-GCM-NoPadding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-GCM-NoPadding
- DES
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
