Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.683.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.0) 4####.92.62.1:80
- TCP(HTTP/1.0) pis.al####.com:80
- TCP(HTTP/1.1) h####.a####.com:80
- TCP(HTTP/1.1) x####.a####.com.####.com:80
- TCP(HTTP/1.1) kvt####.m####.a####.com:80
- TCP(HTTP/1.1) www.a####.com.####.com:80
- TCP(HTTP/1.1) ip.ta####.com:80
- TCP(HTTP/1.1) c16.a####.com:80
- TCP(HTTP/1.1) cs107-####.a####.com:80
- TCP(HTTP/1.1) cs112-####.a####.com:80
- TCP(HTTP/1.1) pss.al####.com:80
- TCP(HTTP/1.1) c31.a####.com:80
- TCP(HTTP/1.1) pus.al####.com:80
- TCP(HTTP/1.1) cdn.app.h####.####.com:80
- TCP(HTTP/1.1) 1####.76.224.67:80
- TCP(HTTP/1.1) cs106-####.a####.com:80
- TCP(HTTP/1.1) cs246-####.a####.com:80
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) res.we####.cn.####.com:80
- TCP(HTTP/1.1) so.a####.com.####.com:80
- TCP(HTTP/1.1) cdn.game####.org:80
- TCP(TLS/1.0) pns.al####.com:443
- TCP(TLS/1.0) ho####.h####.top:443
- TCP(TLS/1.0) sh.wagbr####.alibaba####.com:443
- UDP 1####.168.63.254:4466
Запросы DNS:
- a####.u####.com
- c16.a####.com
- c31.a####.com
- cdn.app.h####.top
- cdn.game####.org
- cs106-####.a####.com
- cs107-####.a####.com
- cs112-####.a####.com
- cs246-####.a####.com
- cs246-####.a####.com
- h####.a####.com
- h####.a####.com
- h####.a####.com
- h####.a####.com
- ho####.h####.top
- img.we####.cn
- ip.ta####.com
- kvt####.m####.a####.com
- log.u####.com
- m####.a####.com
- m.a####.com
- pis.al####.com
- pns.al####.com
- pss.al####.com
- pus.al####.com
- res.we####.cn
- s####.u####.com
- so.a####.com
- videoce####.a####.com
- www.a####.com
- x####.a####.com
Запросы HTTP GET:
- c16.a####.com/user/500/12300500/4367126/card/16521975/16521975_big.jpg
- c31.a####.com/user/313/6695313/6258496/card/39162909/39162909_800.jpg
- cdn.app.h####.####.com/swenjian/321
- cdn.app.h####.####.com/swenjian/321m
- cdn.game####.org/strategy/base
- cdn.game####.org/strategy/dev_root
- cdn.game####.org/strategy/dev_root2
- cdn.game####.org/strategy/larger4.3
- cdn.game####.org/strategy/loss_4.3
- cdn.game####.org/strategy/sul18
- cdn.game####.org/strategy/symlink-adbd
- cs106-####.a####.com/user/42/12715042/3518527/card/9420033/9420033_400.jpg
- cs107-####.a####.com/user/500/12300500/4367126/card/16521975/16521975_bi...
- cs112-####.a####.com/user/313/6695313/6258496/card/39162909/39162909_800...
- cs246-####.a####.com/user/218/2145218/5406659/card/22151628/22151628_800...
- cs246-####.a####.com/user/42/12715042/3518527/card/9420033/card.mp4?l=##...
- cs246-####.a####.com/user/42/12715042/3518527/card/9420033/info.xml
- h####.a####.com/user/218/2145218/5406659/card/22151628/22151628_800.jpg
- h####.a####.com/user/313/6695313/6258496/card/39162909/39162909_800.jpg
- h####.a####.com/user/42/12715042/3518527/card/9420033/9420033_400.jpg
- h####.a####.com/user/42/12715042/3518527/card/9420033/card.mp4?l=####
- h####.a####.com/user/42/12715042/3518527/card/9420033/info.xml
- h####.a####.com/user/500/12300500/4367126/card/16521975/16521975_big.jpg
- ip.ta####.com/service/getIpInfo2.php?ip=####
- kvt####.m####.a####.com/kvinfo.php
- pus.al####.com/kernal/sdkcontrol/vod_android-mobile_x86_9.1.1.1220.jpg
- res.we####.cn.####.com/app/www/templates/common/img/upload/backadmin/201...
- res.we####.cn.####.com/common/img/upload/xifen/1479297559_333.png
- res.we####.cn.####.com/common/img/upload/xifen/1479297620_25.png
- res.we####.cn.####.com/common/img/upload/xifen/1479297636_96.png
- res.we####.cn.####.com/common/img/upload/xifen/1479297652_736.png
- res.we####.cn.####.com/common/img/upload/xifen/1479297670_43.png
- res.we####.cn.####.com/common/img/upload/xifen/1479297706_284.png
- res.we####.cn.####.com/common/img/upload/xifen/1479362481_88.png
- so.a####.com.####.com/api/aipaiApp_action-getCommentNew_mobile-1_type-2_...
- so.a####.com.####.com/api/framework/conf/16?appver=####&os=####&versionC...
- so.a####.com.####.com/api/hot/bannerItem/265?appver=####&os=####&version...
- so.a####.com.####.com/api/hot/titleItem/266?appver=####&os=####&versionC...
- so.a####.com.####.com/api/hot/videos/1162?appId=####&xifenId=####&appver...
- so.a####.com.####.com/api/search/searchWord/16?appver=####&os=####&versi...
- so.a####.com.####.com/api/specialTopic/itemList/268?appver=####&os=####&...
- so.a####.com.####.com/app/www/templates/cdn_policy_telecom.txt?appver=##...
- so.a####.com.####.com/mobile/apps/apps.php?module=####&func=####&app=###...
- so.a####.com.####.com/mobile/apps/apps.php?module=####&func=####&appver=...
- so.a####.com.####.com/mobile/apps/apps.php?module=####&func=####&os=####...
- so.a####.com.####.com/mobile/apps/apps.php?module=####&func=####&test=##...
- so.a####.com.####.com/pc/operator
- www.a####.com.####.com/mobile/apps/apps.php?module=####&func=####&app=##...
- x####.a####.com.####.com/api/framework/conf/16?appver=####&os=####&versi...
- x####.a####.com.####.com/api/hot/bannerItem/265?appver=####&os=####&vers...
- x####.a####.com.####.com/api/hot/titleItem/266?appver=####&os=####&versi...
- x####.a####.com.####.com/api/hot/videos/1162?appver=####&os=####&version...
- x####.a####.com.####.com/api/specialTopic/itemList/268?appver=####&os=##...
- x####.a####.com.####.com/api/top/expert/1162?appver=####&os=####&version...
- x####.a####.com.####.com/api/top/video/1162?appver=####&os=####&versionC...
Запросы HTTP POST:
- a####.u####.com/app_logs
- kvt####.m####.a####.com/i.gif
- pis.al####.com/p/pcdn/i.php?v=####
- pss.al####.com/iku/log/acc
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/1740c449fc10be62df60ba0f18696c9f
- /data/data/####/1bc7feb4f3d2a4cb42359c9de4fb5bf7e64e45dc81ecd7b....0.tmp
- /data/data/####/283f2a55117f5f2e6933b84a5b00d1c3d5dc19aa98119b4....0.tmp
- /data/data/####/32edd79a240b5f1e461d069caab1ec3e
- /data/data/####/44d4a1baa95a65ef3e57adb4c6b3959c48783d630110566....0.tmp
- /data/data/####/475aba8cb10fcd0e02b0c015bae5cf21b3137957cbedbee....0.tmp
- /data/data/####/49a2d906a9a3ec7278d55e386798185e98bb868cb146039....0.tmp
- /data/data/####/4f6c453c-20f8-4020-aaa9-3f94a759a0bd.jar
- /data/data/####/5919cbf598bd9e36e3ac2f4f455d7bae.0.tmp
- /data/data/####/5919cbf598bd9e36e3ac2f4f455d7bae.1.tmp
- /data/data/####/5b1a221852ccad7b72491d203f1195949601fd96fc79474....0.tmp
- /data/data/####/5eb6cce9-b918-42e7-9069-3232ad9f6321
- /data/data/####/685429ffb08a5042f5a751bacce8f3c0336afb061f34e99....0.tmp
- /data/data/####/6b111537f7bdda3130f57048adbac58802cf3d7e43ee2a2....0.tmp
- /data/data/####/6c350d8b-8f4c-4f35-bfd3-5f80840a6847
- /data/data/####/6c58555d-45f4-4c39-abc3-1c2e8787c30e
- /data/data/####/70e990a06b15e4d44acf050a78e0d031873c061092e9a56....0.tmp
- /data/data/####/73d663fe-fbfc-49b8-bdea-5e36bd00832f
- /data/data/####/7a1d2e3a-4cf9-4472-b802-c4509f2f7519
- /data/data/####/8b6f263391259b7a8e5f58ee71852ca8
- /data/data/####/8fc72f96-3586-4bb8-82eb-3a03c78dd167
- /data/data/####/962d1b8b-2f5c-4773-b5b0-580e327dcd9d
- /data/data/####/9b92b2d7-bc47-408a-955b-7f5794d3fe0e.jar
- /data/data/####/CookiePersistence.xml
- /data/data/####/Ede.xml
- /data/data/####/Lvsy.jar
- /data/data/####/Lvsy.xml
- /data/data/####/Matrix
- /data/data/####/RptKVStrategy.txt
- /data/data/####/SUBOXLOG_
- /data/data/####/aipai.db
- /data/data/####/aipai.db-journal
- /data/data/####/aipai.guid
- /data/data/####/b0141e478b25af7c40a8cca8de6c4708
- /data/data/####/b0e7caba44d085bbbac09f321d14c91b581975ab36de583....0.tmp
- /data/data/####/bc3c619077bb0e9a96be2a992d429d42c616163e7482316....0.tmp
- /data/data/####/bf00fabb-f5a6-4f11-b031-5ea99d6e21be
- /data/data/####/bzwn.db-journal
- /data/data/####/ca94ab87f129f30f900db0bd71922fa5d91e52f99cb5eac....0.tmp
- /data/data/####/cf235ce2-ca9e-4e46-9a55-89d06747f6e8
- /data/data/####/config.json
- /data/data/####/ddexe
- /data/data/####/debuggerd
- /data/data/####/device.db
- /data/data/####/ebn.xml
- /data/data/####/ede1be0c-0608-47b6-b05e-6c02ed69ad16
- /data/data/####/exchangeIdentity.json
- /data/data/####/fileWork
- /data/data/####/install-recovery.sh
- /data/data/####/journal.tmp
- /data/data/####/libjiagu.so
- /data/data/####/libpcdn_acc.zip
- /data/data/####/libpcdn_acc_new.so
- /data/data/####/multidex.version.xml
- /data/data/####/pcdnconfigs.xml
- /data/data/####/pidof
- /data/data/####/root3
- /data/data/####/rx_sf_account.xml
- /data/data/####/rx_sf_app.xml
- /data/data/####/su
- /data/data/####/supolicy
- /data/data/####/toolbox
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/umeng_socialize.xml
- /data/data/####/wsroot.sh
- /data/media/####/myself.dat
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- chmod 777 Matrix ddexe debuggerd device.db fileWork install-recovery.sh pidof root3 su supolicy toolbox wsroot.sh
- chmod 777 Matrix ddexe debuggerd fileWork install-recovery.sh pidof su supolicy toolbox wsroot.sh
- sh
Загружает динамические библиотеки:
- libjiagu
- libpcdn_acc
- pcdn_acc
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-NoPadding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-NoPadding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
