Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.683.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) app.onetwo####.top.####.com:80
- TCP(HTTP/1.1) apk.leno####.cc####.####.cn:80
- TCP(HTTP/1.1) ams.leno####.com:80
- TCP(HTTP/1.1) d14uy7w####.cloudf####.net:80
- TCP(HTTP/1.1) oc.u####.com:80
- TCP(HTTP/1.1) des####.leno####.com:80
- TCP(HTTP/1.1) cdn.game####.org:80
- TCP(HTTP/1.1) 1####.76.224.67:80
- TCP(TLS/1.0) k####.onetwo####.top:443
Запросы DNS:
- a####.u####.com
- ams.leno####.com
- apk.leno####.com
- app.onetwo####.top
- cdn.game####.org
- d14uy7w####.cloudf####.net
- des####.leno####.com
- k####.onetwo####.top
- oc.u####.com
Запросы HTTP GET:
- ams.leno####.com/ams/3.0/appdownaddress.do?dt=####&ty=####&ic=####&pn=##...
- apk.leno####.cc####.####.cn/201803311605/162c4e86848cf931fc9d5554daddd00...
- app.onetwo####.top.####.com/swenjian/ac
- cdn.game####.org/strategy/UnknownDev
- cdn.game####.org/strategy/base
- cdn.game####.org/strategy/dev_root
- cdn.game####.org/strategy/dev_root2
- cdn.game####.org/strategy/larger4.3
- cdn.game####.org/strategy/loss_4.3
- cdn.game####.org/strategy/sul18
- cdn.game####.org/strategy/symlink-adbd
- d14uy7w####.cloudf####.net/download/key
Запросы HTTP POST:
- a####.u####.com/app_logs
- des####.leno####.com/desktop/advanced/search
- oc.u####.com/check_config_update
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/061ebd90-b0d8-4d4f-af11-694c4558fa03
- /data/data/####/153df035-a4f0-4ad5-a648-6d41b76f330c
- /data/data/####/16f89515-10ef-4ef3-a30b-b755eddbebc8
- /data/data/####/1740c449fc10be62df60ba0f18696c9f
- /data/data/####/19c53717-9680-4252-b9c9-44273f7b3177
- /data/data/####/2953abc6-6f2a-4901-a3a9-9d3d57e69844
- /data/data/####/31891451-1b6d-47a1-8571-bdb3ac47e10d
- /data/data/####/32edd79a240b5f1e461d069caab1ec3e
- /data/data/####/34d12375-f550-4bc3-b1a4-b91840b0d909
- /data/data/####/7d0e0bd8-b966-48fe-b6ae-e765e227e748.jar
- /data/data/####/7efcdbd0-eba8-479b-b090-e46962bed16e
- /data/data/####/8b6f263391259b7a8e5f58ee71852ca8
- /data/data/####/983b391b-58d0-461a-820d-11c09050c228
- /data/data/####/9ae0cc14-7aaf-4a03-9460-3ff513c71c4d.jar
- /data/data/####/BlaActivity.xml
- /data/data/####/DefaultPage.xml
- /data/data/####/Matrix
- /data/data/####/MgActivity.xml
- /data/data/####/PgService.jar
- /data/data/####/PgService.xml
- /data/data/####/SUBOXLOG_
- /data/data/####/WeatherProvider.db-journal
- /data/data/####/WprService.jar
- /data/data/####/WprService.xml
- /data/data/####/a68df1a1-33a1-43d8-af61-bf7d5100761b
- /data/data/####/aa855de4-62ea-4900-85a0-e56f56c0d17f
- /data/data/####/b0141e478b25af7c40a8cca8de6c4708
- /data/data/####/b18a021d11a3004d25017230b681476b
- /data/data/####/b4588a60-b2f2-4ec3-a82e-7ef3f553e16b
- /data/data/####/bbdb1774-689f-4f32-a025-03ad89aa1fd7
- /data/data/####/bfdb6433-0f3d-44f0-a5f0-9b2512c03017
- /data/data/####/c16de53c-e415-4cc4-8b31-23b65b6cafbf
- /data/data/####/c1b1921c-ac68-47a2-b8ee-539df4de548d
- /data/data/####/c61913b615fb6224701377a119081f36
- /data/data/####/categorys.db
- /data/data/####/categorys.db-journal
- /data/data/####/com.huoying.com_preferences.xml
- /data/data/####/com.lenovo.launcher.apprecommend.xml
- /data/data/####/com.lenovo.launcher.category.xml
- /data/data/####/com.lenovo.launcher.prefs.xml
- /data/data/####/com.lenovo.launcher.profiles.xml
- /data/data/####/com.lenovo.launcher.umeng.pre.xml
- /data/data/####/com.lenovo.launcher.umeng.pre.xml.bak
- /data/data/####/d12c22e6-6aa4-4c61-a6d5-732d1062c104
- /data/data/####/d9377370-c393-423d-a23f-840e592de00b
- /data/data/####/ddexe
- /data/data/####/debuggerd
- /data/data/####/device.db
- /data/data/####/downloads.db-journal
- /data/data/####/dummy_download_files.xml
- /data/data/####/ebn.xml
- /data/data/####/fileWork
- /data/data/####/first_check.xml
- /data/data/####/first_loading.xml
- /data/data/####/install-recovery.sh
- /data/data/####/launcher.db-journal
- /data/data/####/launcher.preferences
- /data/data/####/lelaunchernetwork.db
- /data/data/####/lelaunchernetwork.db-journal
- /data/data/####/lelauncherrecommend.db
- /data/data/####/lelauncherrecommend.db-journal
- /data/data/####/lenovo_badge.db-journal
- /data/data/####/lenovo_reaper.db-journal
- /data/data/####/libjiagu.so
- /data/data/####/mobclick_agent_cached_com.huoying.com7000278
- /data/data/####/mobclick_agent_online_setting_com.huoying.com.xml
- /data/data/####/old_version.xml
- /data/data/####/outbin
- /data/data/####/pidof
- /data/data/####/pinyin.db
- /data/data/####/pqwn.db-journal
- /data/data/####/pref_not_backup.xml
- /data/data/####/pref_recommend.xml
- /data/data/####/pref_recommend_specia_click.xml
- /data/data/####/root3
- /data/data/####/runtime_config.xml
- /data/data/####/su
- /data/data/####/supolicy
- /data/data/####/toolbox
- /data/data/####/umeng_commonapp.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/wsroot.sh
- /data/media/####/LeOneKeyLock.apk
- /data/media/####/com.lenovo.launcherhdmarket.apk
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- chmod 777 Matrix ddexe debuggerd device.db fileWork install-recovery.sh pidof root3 su supolicy toolbox wsroot.sh
- chmod 777 Matrix ddexe debuggerd fileWork install-recovery.sh pidof su supolicy toolbox wsroot.sh
- sh
Загружает динамические библиотеки:
- ImgFun
- libjiagu
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Осуществляет доступ к информации о входящих/исходящих звонках.
Осуществляет доступ к информации об отправленых/принятых смс.
Осуществляет доступ к информации о телефонных контактах.
