Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.570.origin
- Android.Spy.127.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) pub.funs####.com:80
- TCP(HTTP/1.1) up####.funs####.com:80
- TCP(HTTP/1.1) po.funs####.com:80
- TCP(HTTP/1.1) i####.funs####.com:80
- TCP(HTTP/1.1) m.i####.com:80
- TCP(HTTP/1.1) pu.funs####.com:80
- TCP(HTTP/1.1) up####.v.qin####.com:80
- TCP(HTTP/1.1) as.e####.com:80
- TCP(HTTP/1.1) psi.funs####.com:80
- TCP(HTTP/1.1) s####.funs####.net:80
- TCP v.m####.com:7701
- TCP v.m####.com:7702
- TCP v.m####.com:7703
Запросы DNS:
- as.e####.com
- i####.funs####.com
- i####.funs####.com
- i####.funs####.com
- img.funs####.com
- m.i####.com
- pm.funs####.com
- po.funs####.com
- psi.funs####.com
- pu.funs####.com
- pub.funs####.com
- pv.funs####.com
- s####.funs####.net
- up####.funs####.com
- v.m####.com
Запросы HTTP GET:
- as.e####.com/as?m=####&v=####&k=####&pkg=####&json=####
- i####.funs####.com/sdw?oid=####&w=####&h=####
- m.i####.com/cfg/appkey-684f15fa71301257
- po.funs####.com/fpupdate/INI/config_update_funplayer.txt
- po.funs####.com/v5/config/cache?cl=####&ve=####
- po.funs####.com/v5/config/general?cl=####&ve=####
- po.funs####.com/v5/config/init?cl=####&ve=####&mac=####&uc=####
- po.funs####.com/v5/config/log?cl=####&ve=####&mac=####&uc=####
- po.funs####.com/v5/media/recommend?channel=####&pg=####&fudid=####&cl=##...
- po.funs####.com/v7/config/channel?cl=####&ve=####&mac=####&uc=####
- po.funs####.com/v7/config/homepage?cl=####&ve=####&mac=####&uc=####
- psi.funs####.com/v5/site/recommend?pg=####&type=####&cl=####&ve=####&mac...
- pu.funs####.com/v5/media/episode?id=####&cl=####&ve=####&mac=####&uc=####
- pu.funs####.com/v5/media/play?id=####&cl=####&ve=####&mac=####&uc=####
- pu.funs####.com/v5/media/profile?id=####&cl=####&ve=####&mac=####&uc=####
- pu.funs####.com/v5/media/relate?id=####&cl=####&ve=####&mac=####&uc=####
- pu.funs####.com/v5/site/mvsites?id=####&cl=####&ve=####&mac=####&uc=####
- pub.funs####.com/interface/deliver?ap=####&deliver_ver=####&uid=####&mac...
- pub.funs####.com/interface/materials?ap=####&client=####&uid=####&mac=##...
- s####.funs####.net/ecom_mobile/bootstrap?dev=####&ver=####&fudid=####&si...
- s####.funs####.net/ecom_mobile/fbuffer?dev=####&ver=####&fudid=####&sid=...
- s####.funs####.net/ecom_mobile/play?dev=####&ver=####&fudid=####&sid=###...
- s####.funs####.net/ecom_mobile/servicehb?dev=####&ver=####&fudid=####&si...
- up####.funs####.com/v5/user/mediacomment?id=####&pg=####&cl=####&ve=####...
- up####.funs####.com/v5/user/platform?fudid=####&cl=####&ve=####&mac=####...
- up####.funs####.com/v5/user/videocomment?id=####&pg=####&cl=####&ve=####...
- up####.funs####.com/v5/video/advance?id=####&cl=####&ve=####&mac=####&uc...
- up####.funs####.com/v5/video/play?id=####&cl=####&ve=####&mac=####&uc=####
- up####.funs####.com/v5/video/profile?id=####&cl=####&ve=####&mac=####&uc...
- up####.funs####.com/v5/video/relate?id=####&cl=####&ve=####&mac=####&uc=...
- up####.v.qin####.com/img/applogin/platform_sina_light.png
- up####.v.qin####.com/img/applogin/platform_tencent_light.png
- up####.v.qin####.com/sdw?oid=####&w=####&h=####
Запросы HTTP POST:
- m.i####.com/rec/se?_iwt_t=####&sv=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/23.xml
- /data/data/####/23356507059351895.xml
- /data/data/####/24356507059351895.xml
- /data/data/####/25356507059351895.xml
- /data/data/####/30475.jar
- /data/data/####/360.db-journal
- /data/data/####/MATSharedPreferences.xml
- /data/data/####/_ire-journal
- /data/data/####/cn.com.mma.mobile.tracking.other.xml
- /data/data/####/da.jar
- /data/data/####/fudid.xml
- /data/data/####/funshion.db-journal
- /data/data/####/funshion.xml
- /data/data/####/iii.xml
- /data/data/####/libjiagu1700934714.so
- /data/data/####/peerid_config.xml
- /data/media/####/.fudid
- /data/media/####/15i4bm2tsdd20dtw0qxi1rj41.0.tmp
- /data/media/####/26wi40uv99eowyeq4n7oqf29x.0.tmp
- /data/media/####/28tyw4tm71urxdmkbzdpwv810.0.tmp
- /data/media/####/32hmig7ihx1fdxwm38bxuyi4y.0.tmp
- /data/media/####/3h2ods9aaujmqbo3lxvxgef3a.0.tmp
- /data/media/####/3vzrb095hivokwaujx54gsscm.0.tmp
- /data/media/####/40jz2vvasw4tfk80e126m5dp9.0.tmp
- /data/media/####/4905c7750373f8deae2c5185fb126787bde38469.cache
- /data/media/####/4b486315be45d12ec526bd8162fe232dc8e5a386.cache
- /data/media/####/4bdao8nbhdtxajyswxwbhgjos.0.tmp
- /data/media/####/4bhdv1k4tx0n61t7nxskn23ki.0.tmp
- /data/media/####/4cs9c1v1zqi16j0ld852bkwk9.0.tmp
- /data/media/####/4dckpn69j8v51t677uvip1ors.0.tmp
- /data/media/####/4dfpbjp3nludx8jvk2b0m8miw.0.tmp
- /data/media/####/4e3j3303oz0xu0ks0hux4208.0.tmp
- /data/media/####/4q2bvmwtr548ix86po0itlfes.0.tmp
- /data/media/####/59uo2obrhgs5rqelnk5x5rney.0.tmp
- /data/media/####/5dype7kun2vvhuo3wsdguobyq.0.tmp
- /data/media/####/5edllv3wxcclrmko5clik2yng.0.tmp
- /data/media/####/5f7kn8h2wgqpnu4i68pvjg6tm.0.tmp
- /data/media/####/5mixg51ul6kt4jl85qm2ojbvy.0.tmp
- /data/media/####/5mmc7cxda4jrqj1hllsmc1zrj.0.tmp
- /data/media/####/62kdv4dzxqejqe43nzjisirwl.0.tmp
- /data/media/####/6a424b3e52de4915a89b8228cbb64609cec092c7.cache
- /data/media/####/6ctpv2kq0d9b24l6x6ksd7j1g.0.tmp
- /data/media/####/6dcjvdcs5teuzcfsbzzi264ft.0.tmp
- /data/media/####/6gfrm0vxmocuzjwrvv07aoelc.0.tmp
- /data/media/####/6regu0tuuyz8rgtb66ins2ya3.0.tmp
- /data/media/####/6tux7myzdfrmxklnc206kriua.0.tmp
- /data/media/####/703yt4ao1i5d8g62dmugo4edz.0.tmp
- /data/media/####/71lcq6ouheucop7maz4fy94cd.0.tmp
- /data/media/####/73k2dfpgmlwc43q1jklgz43ap.0.tmp
- /data/media/####/7axj6bg6o3cebj7yz5gtyqg2w.0.tmp
- /data/media/####/829d516c1aef8595e950042634f67734f1bcca50.cache
- /data/media/####/9c96089e7e501e5dea3ce94bc20fe6cabc88a5bc.cache
- /data/media/####/a445ce8ee39a93b59bdbf53f0a05497891792191.cache
- /data/media/####/cache.rules.tmp
- /data/media/####/config.ini.tmp
- /data/media/####/e3f98d0917106b0db0156e6e388a723c76a2610e.cache
- /data/media/####/fcca5f40447ebd9725ecee6dd27c646b24b7bc65.cache
- /data/media/####/funshion.ini
- /data/media/####/funshion_aphone_4.0_afaf3f6737f2_20180414.log
- /data/media/####/gxw9y67c7r39hmiwmf1cm8ns.0.tmp
- /data/media/####/journal.tmp
- /data/media/####/k1cudui5cjcw1666evh1lkim.0.tmp
- /data/media/####/lynw7yq92tkgh3sx0dzurmd7.0.tmp
- /data/media/####/n6kwdnmaud99dqt0avw53cki.0.tmp
- /data/media/####/p2p_config.ini
- /data/media/####/wump7xqggmek4fee6zj7jwor.0.tmp
- /data/media/####/z7pp2hm1sa0qoe9ntsbrzefm.0.tmp
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu1700934714.so
Загружает динамические библиотеки:
- fsp2p
- libjiagu1700934714
- loginclient
- lsv
- mresearch
- okjbvcde345789oijhgfdr6
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- DES-CBC-PKCS5Padding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- DES-CBC-PKCS5Padding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
