Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Spy.165.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) p2.q####.com:80
- TCP(HTTP/1.1) x####.tc.qq.com:80
- TCP(HTTP/1.1) s8.q####.com:80
- TCP(HTTP/1.1) p####.q####.cn.####.net:80
- TCP(HTTP/1.1) mfs.y####.com:80
- TCP(HTTP/1.1) s1.q####.com:80
- TCP(HTTP/1.1) s2.q####.com:80
- TCP(HTTP/1.1) l####.tbs.qq.com:80
- TCP(HTTP/1.1) img.m####.ka####.####.com:80
- TCP(HTTP/1.1) s.3####.cn:80
- TCP(HTTP/1.1) t####.top:80
- TCP(HTTP/1.1) p7.q####.com:80
- TCP(HTTP/1.1) s7.q####.com:80
- TCP(HTTP/1.1) p1.q####.com:80
- TCP(HTTP/1.1) p6.q####.com:80
- TCP(HTTP/1.1) 1####.picc####.i####.tv:80
- TCP(HTTP/1.1) s5.q####.com:80
- TCP(HTTP/1.1) qiy####.com.edg####.net:80
- TCP(HTTP/1.1) m.36####.com:80
- TCP(HTTP/1.1) p0.q####.com:80
- TCP(HTTP/1.1) w####.p####.com.####.com:80
- TCP(HTTP/1.1) s0.q####.com:80
Запросы DNS:
- 1####.m####.com
- 2####.m####.com
- 3####.m####.com
- i####.pp####.cn
- i.g####.cn
- i1.t####.com
- img.m####.ka####.####.com
- l####.tbs.qq.com
- m.36####.com
- p####.q####.cn
- p####.qiy####.com
- p####.qiy####.com
- p0.q####.com
- p1.q####.com
- p2.q####.com
- p6.q####.com
- p7.q####.com
- r1.y####.com
- s.3####.cn
- s0.q####.com
- s1.q####.com
- s2.q####.com
- s5.q####.com
- s7.q####.com
- s8.q####.com
- t####.top
Запросы HTTP GET:
- 1####.picc####.i####.tv/preview/internettv/sp_images/ott/2017/dongman/31...
- 1####.picc####.i####.tv/preview/internettv/sp_images/ott/2018/zongyi/322...
- img.m####.ka####.####.com/gallery/187/594277516c14cdef5da3157f094a48b2.jpg
- m.36####.com/
- m.36####.com/favicon.ico
- m.36####.com/m/f6bkYxH4QnL4SR.html
- m.36####.com/m/faXkYhH3Qnj7UB.html
- mfs.y####.com/050E00005A58BC05ADBAC39158059425
- mfs.y####.com/050E00005A6B6AE9AD881A058103C2C9
- mfs.y####.com/050E00005ABE0589ADBAC3F8C4000464
- mfs.y####.com/050E00005AC5ADBEADBDD3681E0719BD
- mfs.y####.com/050E00005AC5AE31ADBDD3681E0D1D65
- mfs.y####.com/b/20130220/co656.jpg
- p####.q####.cn.####.net/vcover_vt_pic/0/m441e3rjq9kwpsc1514887632/0
- p0.q####.com/dm/230_306_/t015a6530ea686842d7.gif
- p0.q####.com/t01092b81ade97bc3f8.jpg
- p0.q####.com/t012c0493019104b5b4.jpg
- p0.q####.com/t01672a9bbcfa11680f.jpg
- p0.q####.com/t016ac3d4c9b6a0be35.jpg
- p0.q####.com/t0190c2608ccc806b7a.jpg
- p0.q####.com/t01948de7323e405b4f.jpg
- p0.q####.com/t019ea833f5836d259e.jpg
- p0.q####.com/t01b10d99e1b98c749f.jpg
- p0.q####.com/t01c1bc7cc68758f1aa.jpg
- p0.q####.com/t01d24d44d1db93819c.jpg
- p0.q####.com/t01db6b5b010570b2cd.jpg
- p1.q####.com/d/dy_e6ff108a71d79db283f813374789b126.
- p1.q####.com/t01ceb8ff50e07e5892.jpg
- p2.q####.com/t0104e0d415abb1a3a6.png
- p6.q####.com/t019063ffd495682a34.png
- p7.q####.com/t01c46dc8438689c358.jpg
- p7.q####.com/t01d307bd6392105117.jpg
- qiy####.com.edg####.net/image/20171026/9b/31/a_100107144_m_601_m1_195_26...
- qiy####.com.edg####.net/image/20180108/9a/dd/a_100108143_m_601_m4_260_36...
- s.3####.cn/qdas/s.htm?p=####&u=####&guid=####&gid=####&sid=####&title=##...
- s0.q####.com/static/f5407c785655e6a1/monitor_analytic.js
- s1.q####.com/!c5e5cf2d/zepto.js
- s2.q####.com/static/7bcc3c3f4b27917f.css
- s2.q####.com/static/7d3322855d044329,47d0e7271cb3c9f3,04c737f471a4e794,f...
- s2.q####.com/static/a9600b259c2bcdc3,7b4d98e1ee1379fe,25eac191fbd2338c,5...
- s5.q####.com/!a68b8ffc/zeptoanimate.js
- s7.q####.com/static/b9cbc503fbb2b494/jweixin-1.0.0.js
- s8.q####.com/static/59c8bef709bc265b,af0385a9dd9a032d,e2174e6faa62c4c0,8...
- t####.top/APP/
- t####.top/APP/api.php?my=####
- t####.top/APP/assets/css/style2.css
- t####.top/APP/assets/plugins/modernizr/js/modernizr.js
- t####.top/APP/assets/plugins/pjax/pjax.css
- t####.top/APP/assets/vendor/bootstrap/css/bootstrap.min.css
- t####.top/APP/assets/vendor/bootstrap/js/bootstrap.min.js
- t####.top/APP/assets/vendor/font-awesome/css/font-awesome.min.css
- t####.top/APP/assets/vendor/js/jquery-2.1.4.min.js
- t####.top/APP/assets/vendor/js/jquery-migrate-1.2.1.min.js
- t####.top/APP/assets/vendor/todc/todc-bootstrap.min.css
- w####.p####.com.####.com/2018/04/04/17223321644_230X306.jpg
- w####.p####.com.####.com/2018/04/08/12012713958_230X306.jpg
- x####.tc.qq.com/qqlive/images/newcolumn/v1/1/1hr57w.jpg
Запросы HTTP POST:
- l####.tbs.qq.com/ajax?c=####&k=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/ApplicationCache.db-journal
- /data/data/####/WebpageIcons.db-journal
- /data/data/####/com.e4a.runtime.android.mainActivity.xml
- /data/data/####/core_info
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/debug.conf
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/f_000004
- /data/data/####/index
- /data/data/####/libjiagu929649286.so
- /data/data/####/tbs_download_config.xml
- /data/data/####/tbs_download_config.xml.bak
- /data/data/####/tbs_download_stat.xml
- /data/data/####/tbscoreinstall.txt
- /data/data/####/tbslock.txt
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/xUtils.db-journal
- /data/media/####/.nomedia
- /data/media/####/16t0g9z7xteken1w4btjijyx8.tmp
- /data/media/####/18ae0yaypmfrzq8byeuu62qkp.tmp
- /data/media/####/1pq85vtgezc27kospijam6wtx.tmp
- /data/media/####/22lwi74r9rwnfie6q9lb8dyvj.tmp
- /data/media/####/2ah5fdhhwynnwf5fz6af5i093.tmp
- /data/media/####/2ckkobvsc778dj6fjh6su58vo.tmp
- /data/media/####/2db56fuxn9pcpd3jdhgky3twl.tmp
- /data/media/####/2xyrfbjmdo2w41u2oh55mbcus.tmp
- /data/media/####/38yb5pcs53nz5l2d2edfoya0p.tmp
- /data/media/####/3msww4uv52jsv86g06xqajo3n.tmp
- /data/media/####/3vpta5cu2br5zo4xmf8x5lw42.tmp
- /data/media/####/3yavifdfzyaxnwwlk8ngw4b66.tmp
- /data/media/####/48cmj360y1m66jwq6m2utxi4s.tmp
- /data/media/####/4l0mizdw2grprxgdecv1zlkl9.tmp
- /data/media/####/5co4znb2ycfj5s73yecqkr7ud.tmp
- /data/media/####/5qkudf5mvx1lelfn28beji7a8.tmp
- /data/media/####/5z3pjo0kce4oslx5ji8pofwgh.tmp
- /data/media/####/65i0z9mt3hx14h940fqyi2duf.tmp
- /data/media/####/68kijq17p7ovrep08vtvalt8d.tmp
- /data/media/####/6cvpf3uy09t7cytvcnng9sjdq.tmp
- /data/media/####/6rnlacgye8lkosq76773r1myi.tmp
- /data/media/####/6xnjh3r2q9mliy4al6iop3mex.tmp
- /data/media/####/6xt02wjsytu5ovk7k4ur5bm2.tmp
- /data/media/####/7ipwaexa4nmm4mytc6aasvzqr.tmp
- /data/media/####/7phtxam9up2mcbwozsdu2l2i.tmp
- /data/media/####/Database.db-journal
- /data/media/####/h8m0j7znuu2gqqdysy9iyfn8.tmp
- /data/media/####/igpaoxwtgx9ln9i96j8nm07w.tmp
- /data/media/####/re9u3ye0wvbclx1zwyehzxve.tmp
- /data/media/####/xp7o34pfwd94mn28m43bn0qa.tmp
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu929649286.so
- getprop ro.product.cpu.abi
Загружает динамические библиотеки:
- libjiagu929649286
Использует следующие алгоритмы для шифрования данных:
- RSA-ECB-NoPadding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Отрисовывает собственные окна поверх других приложений.
