Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.570.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) oc.u####.com:80
- TCP(HTTP/1.1) ts.k####.cn:80
- TCP(HTTP/1.1) m####.k####.cn:80
- TCP(HTTP/1.1) c####.k####.cn.####.net:80
- TCP(HTTP/1.1) as.e####.com:80
- TCP(TLS/1.0) ssl.gst####.com:443
- TCP(TLS/1.0) www.go####.com:443
- TCP(TLS/1.0) adser####.go####.nl:443
- TCP(TLS/1.0) www.go####.nl:443
- TCP(TLS/1.0) www.gst####.com:443
- TCP v.m####.com:7701
- TCP v.m####.com:7703
- TCP v.m####.com:7702
Запросы DNS:
- a####.u####.com
- adser####.go####.nl
- as.e####.com
- c####.k####.cn
- m####.k####.cn
- oc.u####.com
- ssl.gst####.com
- ts.k####.cn
- v.m####.com
- www.go####.com
- www.go####.nl
- www.gst####.com
Запросы HTTP GET:
- as.e####.com/as?m=####&v=####&k=####&pkg=####&json=####
- c####.k####.cn.####.net/tingshu/catIcon/1.png
- c####.k####.cn.####.net/tingshu/catIcon/16.png
- c####.k####.cn.####.net/tingshu/catIcon/2.png
- c####.k####.cn.####.net/tingshu/catIcon/27.png
- c####.k####.cn.####.net/tingshu/catIcon/44.png
- c####.k####.cn.####.net/tingshu/catIcon/59.png
- c####.k####.cn.####.net/tingshu/catIcon/8.png
- c####.k####.cn.####.net/tingshu/catIcon/97.png
- c####.k####.cn.####.net/tingshu/catIcon/98.png
- c####.k####.cn.####.net/tingshu/img/11/428518711.jpg
- c####.k####.cn.####.net/tingshu/img/13/100102113a.jpg
- c####.k####.cn.####.net/tingshu/img/13/100129013.jpg
- c####.k####.cn.####.net/tingshu/img/17/582022817.jpg
- c####.k####.cn.####.net/tingshu/img/24/bchsvz.jpg
- c####.k####.cn.####.net/tingshu/img/25/znexgj.jpg
- c####.k####.cn.####.net/tingshu/img/29/e5l1yq.jpg
- c####.k####.cn.####.net/tingshu/img/3/q1on31.jpg
- c####.k####.cn.####.net/tingshu/img/30/100132030.jpg
- c####.k####.cn.####.net/tingshu/img/33/421021333.jpg
- c####.k####.cn.####.net/tingshu/img/33/53kgdd.jpg
- c####.k####.cn.####.net/tingshu/img/40/100100540A.jpg
- c####.k####.cn.####.net/tingshu/img/41/840275341.jpg
- c####.k####.cn.####.net/tingshu/img/41/vwe4wc.jpg
- c####.k####.cn.####.net/tingshu/img/44/ey44vp.jpg
- c####.k####.cn.####.net/tingshu/img/45/100103245a.jpg
- c####.k####.cn.####.net/tingshu/img/46/100100146a.jpg
- c####.k####.cn.####.net/tingshu/img/5/51euud.jpg
- c####.k####.cn.####.net/tingshu/img/50/100100050.jpg
- c####.k####.cn.####.net/tingshu/img/50/327214550.jpg
- c####.k####.cn.####.net/tingshu/img/52/0tfsrv.jpg
- c####.k####.cn.####.net/tingshu/img/55/100136555.jpg
- c####.k####.cn.####.net/tingshu/img/57/100100157a.jpg
- c####.k####.cn.####.net/tingshu/img/58/100112058.jpg
- c####.k####.cn.####.net/tingshu/img/62/fb3sel.jpg
- c####.k####.cn.####.net/tingshu/img/65/100113165.jpg
- c####.k####.cn.####.net/tingshu/img/66/100101166.jpg
- c####.k####.cn.####.net/tingshu/img/69/edoqnl.jpg
- c####.k####.cn.####.net/tingshu/img/70/3t5rbt.jpg
- c####.k####.cn.####.net/tingshu/img/70/a50esk.jpg
- c####.k####.cn.####.net/tingshu/img/72/100103172q.jpg
- c####.k####.cn.####.net/tingshu/img/72/100130372.jpg
- c####.k####.cn.####.net/tingshu/img/73/100103273.jpg
- c####.k####.cn.####.net/tingshu/img/73/236682773.jpg
- c####.k####.cn.####.net/tingshu/img/76/326060576.jpg
- c####.k####.cn.####.net/tingshu/img/77/767832977.jpg
- c####.k####.cn.####.net/tingshu/img/78/100129878.jpg
- c####.k####.cn.####.net/tingshu/img/80/100100180.jpg
- c####.k####.cn.####.net/tingshu/img/82/800145582.jpg
- c####.k####.cn.####.net/tingshu/img/85/100102785.jpg
- c####.k####.cn.####.net/tingshu/img/88/w0oljk.jpg
- c####.k####.cn.####.net/tingshu/img/92/100103392.jpg
- c####.k####.cn.####.net/tingshu/img/92/nef0ja.jpg
- c####.k####.cn.####.net/tingshu/img/93/100103593.jpg
- c####.k####.cn.####.net/tingshu/img/93/100134893.jpg
- c####.k####.cn.####.net/tingshu/img/94/424794a.jpg
- c####.k####.cn.####.net/tingshu/img/96/100136596.jpg
- c####.k####.cn.####.net/tingshu/img/99/aujh03.jpg
- m####.k####.cn/mobi.s?f=####&q=XWGUx####
- ts.k####.cn/service/gethome.php?act=####
- ts.k####.cn/service/getlist.v31.php?act=####
- ts.k####.cn/service/getlist.v31.php?act=####&id=####&type=####
- ts.k####.cn/service/getlist.v31.php?act=####&pos=####
Запросы HTTP POST:
- a####.u####.com/app_logs
- oc.u####.com/check_config_update
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/23.xml
- /data/data/####/23356507059351895.xml
- /data/data/####/24356507059351895.xml
- /data/data/####/25356507059351895.xml
- /data/data/####/360.db-journal
- /data/data/####/853378.jar
- /data/data/####/Alvin2.xml
- /data/data/####/AppStore.xml
- /data/data/####/ContextData.xml
- /data/data/####/com.dazhang.mianfei.readbook_preferences.xml
- /data/data/####/com.dazhang.mianfei.readbook_preferences.xml.bak
- /data/data/####/da.jar
- /data/data/####/kw_tingshu.db-journal
- /data/data/####/libjiagu.so
- /data/data/####/mobclick_agent_online_setting_com.dazhang.mianf...ok.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/umeng_message_state.xml
- /data/data/####/uuid.xml
- /data/data/####/webview.db-journal
- /data/media/####/-341027537
- /data/media/####/.nomedia
- /data/media/####/.setting.dat
- /data/media/####/104263205
- /data/media/####/105010748
- /data/media/####/1147985540
- /data/media/####/117a4ez8adn2tprork4qle0l0.tmp
- /data/media/####/1376978974
- /data/media/####/16ppviz9kr9gq3ain8cnkecws.tmp
- /data/media/####/1a06cj8k17lrbm1mun2jvprjx.tmp
- /data/media/####/1hme0hpugxcadjjniorr8iy7a.tmp
- /data/media/####/1kk2u9gcal44j6acaujta9ehp.tmp
- /data/media/####/1nkoqr8gpd8e10e9oceo1x1x5.tmp
- /data/media/####/1smlgc1fn1a1ky0okpx7bc5vl.tmp
- /data/media/####/1to707mxwublgnx0kdg7i8ygq.tmp
- /data/media/####/28qdcp2u5m16nqw25ivvbstze.tmp
- /data/media/####/2mkruxxtf8qd45ls79ywhs36p.tmp
- /data/media/####/2su9re2l47awl8chbsu72c5h9.tmp
- /data/media/####/2t4rwfo3l23vo7qqit9dlr77g.tmp
- /data/media/####/2tin1s6pkgv5nis4davuy5q20.tmp
- /data/media/####/2xdy3cqjavpze8wb0rud1q24c.tmp
- /data/media/####/2z16cq1oguw1d6jypkwi27tw7.tmp
- /data/media/####/38vodzd8nwnykklqz7835stzv.tmp
- /data/media/####/3d9g6dljim54tu0v3ann2lok9.tmp
- /data/media/####/3wvdx1bdh2mrvbcjv4jguiyvz.tmp
- /data/media/####/3y57rjc78ifbm3hgty4xe7sr2.tmp
- /data/media/####/3ybq59k0nvnkabg0lzavh5p6s.tmp
- /data/media/####/439o2atq69l2lfnbpq6a8vt8k.tmp
- /data/media/####/47mhoesoihw4s3phlbis6a76e.tmp
- /data/media/####/48id37c6h3dbkg75158glxk3e.tmp
- /data/media/####/4g7uo03eu0ttgs8txs4xvfi5l.tmp
- /data/media/####/4g836nxx9dr5dqy0fj2gguqn4.tmp
- /data/media/####/4mt71n2q5dm2p2p2uotp598xt.tmp
- /data/media/####/4tul91sestf1swz47xd5rhfvp.tmp
- /data/media/####/51szlxdzh8tn17it8hzaqop1w.tmp
- /data/media/####/544d51un2rlhffrrvp6bkmgp7.tmp
- /data/media/####/55dd56rf50y19kzqdco8yhlk1.tmp
- /data/media/####/5br8k67j4wfphukx4umzn8js3.tmp
- /data/media/####/5cs1sr6soro6bd8e1yl0kxrfd.tmp
- /data/media/####/5k20zryun0lmrawr0zekpyra6.tmp
- /data/media/####/5tlx8yxjh9x7o536kgwd6hm68.tmp
- /data/media/####/5uezrt2jccts6x6rpt53yt9zv.tmp
- /data/media/####/5yxpx2r7l7cuskl5oqdud5xc4.tmp
- /data/media/####/640aqrqzre8v82yrlxil56ura.tmp
- /data/media/####/65ssu4jfmg7ids3yr91iitl7k.tmp
- /data/media/####/66cxhntvzd3bvb79b7l9xxd0e.tmp
- /data/media/####/6f7g74b6fhb596caozvbsxyxc.tmp
- /data/media/####/6sa2cquzpc2jh6ogh89m93tre.tmp
- /data/media/####/6tz8me8cjuvugyc0rtjjs3kp4.tmp
- /data/media/####/7adtkv39qziqz16dy4b4uskb7.tmp
- /data/media/####/7czgw543ll4bhpyytyu1g1uw6.tmp
- /data/media/####/7dq82bsqqqt88l7s2hakgsytx.tmp
- /data/media/####/7e60m1t4hmkvrfid30q6be5w6.tmp
- /data/media/####/7f4xenr8lztls85xpjetdoxm5.tmp
- /data/media/####/7fzpq3ikdr2wq107xglsk1s1m.tmp
- /data/media/####/7i9vkltmnpg8almcpqpzecdti.tmp
- /data/media/####/7iyaarqd9ihc75sjlub66v6qu.tmp
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/b4kccrhij4owfse2u4l5mwkf.tmp
- /data/media/####/g1joosi29gcwy9eh5hwmkhe4.tmp
- /data/media/####/j52s8mzi5cpfuisab6mq2bdv.tmp
- /data/media/####/lbok4ovnempa5gafuigz3vaz.tmp
- /data/media/####/n9smm5cjht41ngc74g1qlxch.tmp
- /data/media/####/test.aac
- /data/media/####/ttp58tphorw6ilpitkjkmoee.tmp
- /data/media/####/z21t0ot7sb6mezhk1988b2zf.tmp
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
Загружает динамические библиотеки:
- fg
- libjiagu
- okjbvcde345789oijhgfdr6
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
