Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Spy.165.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) l####.tbs.qq.com:80
- TCP(HTTP/1.1) dianxi####.com:80
- TCP(HTTP/1.1) idu####.qini####.com:80
- TCP(HTTP/1.1) cgi.con####.qq.com:80
- TCP(HTTP/1.1) hn####.cn:80
- TCP(TLS/1.0) ssl.gst####.com:443
- TCP(TLS/1.0) www.go####.com:443
- TCP(TLS/1.0) adser####.go####.nl:443
- TCP(TLS/1.0) www.go####.nl:443
- TCP(TLS/1.0) www.gst####.com:443
Запросы DNS:
- adser####.go####.nl
- cgi.con####.qq.com
- cyber####.b####.com
- dianxi####.com
- hn####.cn
- i####.img.9####.com
- i####.img.9####.com
- i####.img.9####.com
- i####.img.9####.com
- i####.img.9####.com
- i####.img.9####.com
- i####.img.9####.com
- i####.img.9####.com
- i####.img.9####.com
- l####.tbs.qq.com
- ssl.gst####.com
- www.go####.com
- www.go####.nl
- www.gst####.com
Запросы HTTP GET:
- cgi.con####.qq.com/qqconnectopen/openapi/policy_conf?sdkv=####&appid=###...
- dianxi####.com/zb/9xiu.php?p=####
- hn####.cn/yunapp/GetDataApi.Asp?Action=####&yz=####&sign=####&time=####
- hn####.cn/yunapp/Getdataapi.asp?Action=####&cpu=####&jx=####&yz=####&up=...
- hn####.cn/yunapp/UserData.asp?A=####
- idu####.qini####.com/upload/roomimg/2017/09/07/28541313000606m0skkiidax_...
- idu####.qini####.com/upload/roomimg/2017/10/26/250722922220181tfwnmcyck_...
- idu####.qini####.com/upload/roomimg/2017/10/31/254522161545247l926uxv4x_...
- idu####.qini####.com/upload/roomimg_web/2017/11/14/28009494174856iqjsq89...
- idu####.qini####.com/upload/roomimg_web/2017/11/19/33371083155800tgg904t...
- idu####.qini####.com/upload/roomimg_web/2017/12/10/34641496172914paj6xqa...
- idu####.qini####.com/upload/roomimg_web/2018/01/03/35701681124928m2nsqin...
- idu####.qini####.com/upload/roomimg_web/2018/01/09/326168632025223i9j581...
- idu####.qini####.com/upload/roomimg_web/2018/01/12/33452654154057belgiq8...
- idu####.qini####.com/upload/roomimg_web/2018/01/13/27823910003619ghi4eb7...
- idu####.qini####.com/upload/roomimg_web/2018/02/09/35024358203827phf0o8p...
- idu####.qini####.com/upload/roomimg_web/2018/02/26/367009242158097t003cn...
- idu####.qini####.com/upload/roomimg_web/2018/03/13/36139296210849mbwtv2a...
- idu####.qini####.com/upload/roomimg_web/2018/03/19/33838720141852ijnmi6a...
- idu####.qini####.com/upload/roomimg_web/2018/03/22/35853302035626jk9jwym...
- idu####.qini####.com/upload/roomimg_web/2018/03/26/368283371151482yufwh1...
- idu####.qini####.com/upload/roomimg_web/2018/03/28/3730183320452813mi1b2...
- idu####.qini####.com/upload/roomimg_web/2018/03/31/16997706144620joq9ljo...
- idu####.qini####.com/upload/roomimg_web/2018/03/31/25450959152010c5q6i7d...
- idu####.qini####.com/upload/roomimg_web/2018/03/31/26388078145056iai7u3i...
- idu####.qini####.com/upload/roomimg_web/2018/04/01/37432863234827q01aj1m...
Запросы HTTP POST:
- l####.tbs.qq.com/ajax?c=####&k=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/78fc6f7f770db7436d36a7b0da2fcc69.xml
- /data/data/####/WebpageIcons.db-journal
- /data/data/####/com.tencent.open.config.json.1106302316
- /data/data/####/core_info
- /data/data/####/debug.conf
- /data/data/####/jg_so_upgrade_setting.xml
- /data/data/####/libjiagu.so
- /data/data/####/qihoo_jiagu_crash_report.xml
- /data/data/####/tbs_download_config.xml
- /data/data/####/tbs_download_stat.xml
- /data/data/####/tbs_load_stat_flag.xml
- /data/data/####/tbs_report_lock.txt
- /data/data/####/tbscoreinstall.txt
- /data/data/####/tbslock.txt
- /data/data/####/webview.db-journal
- /data/media/####/.cuid
- /data/media/####/.nomedia
- /data/media/####/1.app.log
- /data/media/####/1r2icciq6ndt3vjnm4blhr9hk.tmp
- /data/media/####/27f6sh0cv0noeuy0e7d4415up.tmp
- /data/media/####/2e6xhj8stspzqf0r7r742j4oc.tmp
- /data/media/####/2kqqpasq24ovgll3fk3900yyb.tmp
- /data/media/####/2nca4j5mjxtp6e4twm0aer1gq.tmp
- /data/media/####/2v1bwprc5vns5tn7llpep0xs2.tmp
- /data/media/####/33hp5ehk4talwm3itjnh7rj4q.tmp
- /data/media/####/3r7t3vem5084a4ysd9ns8oinx.tmp
- /data/media/####/3z0xa1094sw4838vt01eh8860.tmp
- /data/media/####/3zmufddwgmy583k1wqvbuebam.tmp
- /data/media/####/4270pntzbem7s77ignn7gmfz.tmp
- /data/media/####/45jp95n4b4wq05pweq6768qkw.tmp
- /data/media/####/49wav0qmrug0gvlrhy7o4qio6.tmp
- /data/media/####/4guqezyzcg37crd1z0nq9zkai.tmp
- /data/media/####/6gxban1n2jlhusft1gbxmdg31.tmp
- /data/media/####/798gn8uqi38fd8osx0hypz1a5.tmp
- /data/media/####/7arbnrvc29gou53gfok2evewc.tmp
- /data/media/####/7cf373a0rdh5k9o4336u3wmba.tmp
- /data/media/####/config.ini
- /data/media/####/hawtpmx8ss64cpma7nocmlsa.tmp
- /data/media/####/listlog.txt
- /data/media/####/suk7zplpdnm6ek2fvm11b7c6.tmp
- /data/media/####/tbslog.txt
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- getprop ro.product.cpu.abi
Загружает динамические библиотеки:
- cyberplayer
- cyberplayer-core
- libjiagu
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- RSA-ECB-NoPadding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
