Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.683.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) s.wagbr####.alibaba####.com:80
- TCP(HTTP/1.1) app.onetwo####.top.####.com:80
- TCP(HTTP/1.1) 1####.76.224.67:80
- TCP(HTTP/1.1) loc.map.b####.com:80
- TCP(HTTP/1.1) fj.iwifi####.com:8010
- TCP(HTTP/1.1) cdn.game####.org:80
- TCP(TLS/1.0) k####.onetwo####.top:443
Запросы DNS:
- a####.u####.com
- app.onetwo####.top
- au.u####.co
- au.u####.com
- cdn.game####.org
- fj.iwifi####.com
- k####.onetwo####.top
- loc.map.b####.com
Запросы HTTP GET:
- app.onetwo####.top.####.com/swenjian/ac
- cdn.game####.org/strategy/base
- cdn.game####.org/strategy/dev_root2
- cdn.game####.org/strategy/larger4.3
- cdn.game####.org/strategy/loss_4.3
- cdn.game####.org/strategy/sul18
- cdn.game####.org/strategy/symlink-adbd
- fj.iwifi####.com:8010/wifiPortal/app/member/registerIndex.jhtml?apKey=####
- fj.iwifi####.com:8010/wifiPortal/app/user/userlogin.jhtml?source=####&st...
- fj.iwifi####.com:8010/wifiPortal/css/app/bootstrap.css
- fj.iwifi####.com:8010/wifiPortal/css/app/layout_new.css
- fj.iwifi####.com:8010/wifiPortal/css/app/new/bootstrap.css
- fj.iwifi####.com:8010/wifiPortal/css/app/new/layout.css
- fj.iwifi####.com:8010/wifiPortal/images/app/new/icon-1.png
- fj.iwifi####.com:8010/wifiPortal/images/app/new/icon-2.png
- fj.iwifi####.com:8010/wifiPortal/images/app/new/logo.png
- fj.iwifi####.com:8010/wifiPortal/images/fj/new/wap/windowsBg2.png
- fj.iwifi####.com:8010/wifiPortal/images/fj/new/wap/windowsX.png
- fj.iwifi####.com:8010/wifiPortal/js/innerhtml.js
- fj.iwifi####.com:8010/wifiPortal/js/jquery.js
- fj.iwifi####.com:8010/wifiPortal/js/user/NTUI_v131223.min.js
- fj.iwifi####.com:8010/wifiPortal/js/user/xui-2.3.2.min.js
Запросы HTTP POST:
- a####.u####.com/app_logs
- fj.iwifi####.com:8010/wifiPortal/app/sys/getHeaderAd.api
- loc.map.b####.com/sdk.php
- s.wagbr####.alibaba####.com/api/check_app_update
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/06fdabc2-dbbb-4437-a60c-e568d866eb43
- /data/data/####/1127623b-2064-447f-9651-68b7465fc10f.jar
- /data/data/####/1740c449fc10be62df60ba0f18696c9f
- /data/data/####/1c7548aa-b9a1-4394-b080-e9926dfe724a
- /data/data/####/298cf012-9e84-4618-99c6-8db8110aee16
- /data/data/####/32edd79a240b5f1e461d069caab1ec3e
- /data/data/####/38f91e0b-7d88-4e35-8edc-45f404d32bf4
- /data/data/####/5d01f8b2-9a64-43cf-9f54-6668cb9e3161
- /data/data/####/777fe55d-e672-458e-b8e5-58c0059f15a8
- /data/data/####/8b6f263391259b7a8e5f58ee71852ca8
- /data/data/####/CfrActivity.xml
- /data/data/####/GhService.jar
- /data/data/####/GhService.xml
- /data/data/####/Matrix
- /data/data/####/SUBOXLOG_
- /data/data/####/b0141e478b25af7c40a8cca8de6c4708
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/ddexe
- /data/data/####/debuggerd
- /data/data/####/device.db
- /data/data/####/ebn.xml
- /data/data/####/f9cd70bc-2c3f-44ec-867b-09c7883ab5e8
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/f_000004
- /data/data/####/fileWork
- /data/data/####/firll.dat
- /data/data/####/index
- /data/data/####/install-recovery.sh
- /data/data/####/libjiagu.so
- /data/data/####/pidof
- /data/data/####/pqwn.db-journal
- /data/data/####/root3
- /data/data/####/su
- /data/data/####/supolicy
- /data/data/####/temp_en.db
- /data/data/####/temp_en.db-journal
- /data/data/####/toolbox
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/wsroot.sh
- /data/media/####/conlts.dat
- /data/media/####/log.txt
- /data/media/####/ls.db
- /data/media/####/ls.db-journal
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- chmod 777 Matrix ddexe debuggerd device.db fileWork install-recovery.sh pidof root3 su supolicy toolbox wsroot.sh
- chmod 777 Matrix ddexe debuggerd fileWork install-recovery.sh pidof su supolicy toolbox wsroot.sh
- ping -c 1 -i 0.2 -W 1 222.76.124.156
- sh
Загружает динамические библиотеки:
- bspatch
- libjiagu
- locSDK5
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
