Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.SmsSpy.677.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) q####.qi1####.com:14302
- TCP(HTTP/1.1) z####.wann####.com:9500
- TCP(HTTP/1.1) zxc####.wann####.com:8200
- TCP(HTTP/1.1) i####.cn.com:80
- TCP(HTTP/1.1) qyc####.qi1####.com:8200
- TCP(HTTP/1.1) z####.wann####.com:9600
Запросы DNS:
- i####.cn.com
- pg.x####.com
- prelo####.hishen####.com
- q####.qi1####.com
- qyc####.qi1####.com
- z####.wann####.com
- zxc####.wann####.com
Запросы HTTP GET:
- i####.cn.com/a/39cc255f4396af00c348e34c55868f4a2
- qyc####.qi1####.com:8200/sdk/file?726gcnC####
- qyc####.qi1####.com:8200/sdk/file?JcTVnqd####
Запросы HTTP POST:
- q####.qi1####.com:14302/sdk_login?t=####
- z####.wann####.com:9500/
- z####.wann####.com:9600/
- zxc####.wann####.com:8200/qy/acceptSdkFileReq
- zxc####.wann####.com:8200/qy/getOnlineLoginHttpReq
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/+79269880246|account_file.xml
- /data/data/####/.jg.ic
- /data/data/####/DynamicRes.jar
- /data/data/####/DynamicRes.zip
- /data/data/####/QySDK-12162.jar
- /data/data/####/QySDK-12162.zip
- /data/data/####/TD_app_pefercen_profile.xml
- /data/data/####/a.db
- /data/data/####/a.db-journal
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/getprop
- /data/data/####/libjiagu.so
- /data/data/####/mpush_game.db
- /data/data/####/mpush_game.db-journal
- /data/data/####/mpush_gateway_preferences_file
- /data/data/####/mpush_version_preferences_file
- /data/data/####/pid
- /data/data/####/pref_file.xml
- /data/data/####/qihoo_jiagu_crash_report.xml
- /data/data/####/qy_db_pay
- /data/data/####/qy_db_pay-journal
- /data/data/####/td_database_push
- /data/data/####/td_pefercen_profile.xml
- /data/data/####/tdandroidgame
- /data/data/####/tdid.xml
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/unknown.xml
- /data/media/####/.cfg
- /data/media/####/.tcookieid
- /data/media/####/device
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh
- app_process /system/bin com.android.commands.am.Am startservice --user 0 -n <Package>/com.google.android.gms.analytics.CampaignTrackingService
- cat /sys/block/mmcblk0/device/cid
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- chmod 777 <Package Folder>/lib/helper
- dd if=<Package Folder>/lib/libhelper.so of=<Package Folder>/lib/helper
- df
- getprop
- ls -l /system/bin/su
- ps | grep <Package>
- sh
Загружает динамические библиотеки:
- cocos2dcpp
- libhelper
- libjiagu
- libsmsmanager
- null
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS5Padding
- DES-ECB-NoPadding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS7Padding
- DES-ECB-NoPadding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из смс сообщений.
Осуществляет доступ к информации об отправленых/принятых смс.
