Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.589.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) pod.dsy####.com:80
- TCP(HTTP/1.1) cdn.app.zad####.####.com:80
- TCP(HTTP/1.1) l####.gom####.cn:80
- TCP(HTTP/1.1) a####.m.ta####.com:80
- TCP(HTTP/1.1) c.appj####.com:80
- TCP(HTTP/1.1) 1####.76.224.67:80
- TCP(HTTP/1.1) cdn.game####.org:80
- TCP(TLS/1.0) regi####.xm####.xi####.com:443
- TCP(TLS/1.0) res####.a####.com:443
Запросы DNS:
- a####.m.ta####.com
- c.appj####.com
- cdn.app.zad####.cn
- cdn.game####.org
- cdn.img.fly####.top
- l####.gom####.cn
- pod.dsy####.com
- regi####.xm####.xi####.com
- res####.a####.com
Запросы HTTP GET:
- cdn.app.zad####.####.com/sfile/201804/23/all/cp_V1.1.3.txt
- cdn.app.zad####.####.com/upload/201802/24/img/20180224104745731.png
- cdn.app.zad####.####.com/upload/201803/26/app/20180326162701928.apk
- cdn.app.zad####.####.com/upload/201803/26/img/20180326133902613.png
- cdn.app.zad####.####.com/upload/201803/7/app/20180307171808005.apk
- cdn.app.zad####.####.com/upload/201803/7/img/20180307171834691.png
- cdn.app.zad####.####.com/upload/201804/12/app/20180412111313411.apk
- cdn.app.zad####.####.com/upload/201804/17/app/20180417173606325.apk
- cdn.app.zad####.####.com/upload/201804/17/img/20180417133720619.png
- cdn.game####.org/strategy/UnknownDev
- cdn.game####.org/strategy/base
- cdn.game####.org/strategy/dev_root
- cdn.game####.org/strategy/dev_root2
- cdn.game####.org/strategy/larger4.3
- cdn.game####.org/strategy/loss_4.3
- cdn.game####.org/strategy/sul18
- cdn.game####.org/strategy/symlink-adbd
Запросы HTTP POST:
- a####.m.ta####.com/rest/gc?dd=####&nsgs=####&ak=####&av=####&c=####&v=##...
- a####.m.ta####.com/rest/sur?ak=####&av=####&c=####&v=####&s=####&d=####&...
- c.appj####.com/ad/splash/stats.html
- l####.gom####.cn/aiswkk/r/f
- l####.gom####.cn/awdii/klbjo/uwe
- l####.gom####.cn/dpebii/eoigg/cha
- l####.gom####.cn/ff/gem
- l####.gom####.cn/ikk/s/iys
- l####.gom####.cn/lbgmkk/inlp/vaix
- l####.gom####.cn/ltfkk/lx/io
- l####.gom####.cn/lwqkk/tghy/us
- l####.gom####.cn/nkk/chiy/b
- l####.gom####.cn/ohkk/fg/zt
- l####.gom####.cn/okk/l/ydjkm
- l####.gom####.cn/pvoheii/qrqt/wmejv
- l####.gom####.cn/squkk/fy/hpby
- l####.gom####.cn/vmfekk/at/rlbj
- l####.gom####.cn/xrgvnkk/lfvmy/uumjy
- l####.gom####.cn/yjmkk/ttdtj/v
- pod.dsy####.com/login/getZhiboUrl
- pod.dsy####.com/login/login
- pod.dsy####.com/statistics/active
- pod.dsy####.com/updateInfo
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/1740c449fc10be62df60ba0f18696c9f
- /data/data/####/20d30ea7-c2d8-4614-82b6-1b4dfa73b967
- /data/data/####/32edd79a240b5f1e461d069caab1ec3e
- /data/data/####/44bcb2a5-f475-40e1-b34e-4c21f90218f5
- /data/data/####/4dbce01c-e9a9-47b4-909b-e167ad501000
- /data/data/####/4e2cc848-bd3b-41e5-abec-f127cbb9524a (deleted)
- /data/data/####/5fbc3964-13bd-4965-ab2c-a079fab862b6
- /data/data/####/65fb96df-09dc-4e6c-9dc6-4d9ffb6689a5
- /data/data/####/8329af8c-4521-4fd2-a4e4-d76872123354
- /data/data/####/8b6f263391259b7a8e5f58ee71852ca8
- /data/data/####/993f6c7a-618b-4bb1-beb7-8cb58e7ce4f5
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/Matrix
- /data/data/####/SUBOXLOG_
- /data/data/####/UTCommon.xml
- /data/data/####/UTMCConf150279669.xml
- /data/data/####/UTMCConf1625755541.xml
- /data/data/####/UTMCConf280824918.xml
- /data/data/####/UTMCLog150279669.xml
- /data/data/####/UTMCLog1625755541.xml
- /data/data/####/UTMCLog280824918.xml
- /data/data/####/a51b8a47-9f8b-4740-bee6-39d9a9caab3c
- /data/data/####/a8fd79c7-c010-4d72-b1a8-4c165af66824
- /data/data/####/ad_show_time.xml
- /data/data/####/b0141e478b25af7c40a8cca8de6c4708
- /data/data/####/b0bade8e-c223-452e-a3dc-ee53acf56e0d
- /data/data/####/b18a021d11a3004d25017230b681476b
- /data/data/####/b8e48777-72ff-4350-9a8a-caf44695617d
- /data/data/####/c61913b615fb6224701377a119081f36
- /data/data/####/ce3fa7d9-3bf5-48a8-9800-acf46ca6263b
- /data/data/####/checker
- /data/data/####/checker.jar
- /data/data/####/core
- /data/data/####/d6978899-1b4c-43d2-8327-e648f3c7c078
- /data/data/####/dd8f46cc-bfdf-456d-bf3d-89d1d22e43a2
- /data/data/####/ddexe
- /data/data/####/debuggerd
- /data/data/####/device.db
- /data/data/####/dsi.xml
- /data/data/####/e99cd45a607b18852a8b0833d7eca80c.0
- /data/data/####/el.jar
- /data/data/####/f657db89-8887-4605-8731-e0d70af661de
- /data/data/####/fileWork
- /data/data/####/global_pref.xml
- /data/data/####/gn.jar
- /data/data/####/hmdb
- /data/data/####/hmdb-journal
- /data/data/####/install-recovery.sh
- /data/data/####/jg_app_update_settings_random.xml
- /data/data/####/journal
- /data/data/####/journal.tmp
- /data/data/####/kr.xml
- /data/data/####/libjiagu.so
- /data/data/####/logdb.db
- /data/data/####/logdb.db-journal
- /data/data/####/mipush.xml
- /data/data/####/mipush_extra.xml
- /data/data/####/pidof
- /data/data/####/root3
- /data/data/####/su
- /data/data/####/subox.xml
- /data/data/####/supolicy
- /data/data/####/sv.xml
- /data/data/####/t_u.db-journal
- /data/data/####/toolbox
- /data/data/####/wsroot.sh
- /data/media/####/2d83458c6505f
- /data/media/####/33353cb22d23d
- /data/media/####/58e1e0a42a759279711652316cbde94f.apk
- /data/media/####/6492aa9cde8ee768b375b04724302d16.apk
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/V1.1.3.txt
- /data/media/####/ad5b539880c0896a04621cb6e16a6661.apk
- /data/media/####/alsn.db
- /data/media/####/alsn.db-journal
- /data/media/####/b.tmp
- /data/media/####/e27ef37931fe8
- /data/media/####/fddb31d73e8af
- /data/media/####/fee5059e21ec3d4aaf300b0b00eb0ebd.apk
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- chmod 777 /storage/emulated/0/Android/data/<Package>/files/Download/Android/azb/58e1e0a42a759279711652316cbde94f.apk
- chmod 777 /storage/emulated/0/Android/data/<Package>/files/Download/Android/azb/6492aa9cde8ee768b375b04724302d16.apk
- chmod 777 /storage/emulated/0/Android/data/<Package>/files/Download/Android/azb/ad5b539880c0896a04621cb6e16a6661.apk
- chmod 777 /storage/emulated/0/Android/data/<Package>/files/Download/Android/azb/fee5059e21ec3d4aaf300b0b00eb0ebd.apk
- chmod 777 Matrix ddexe debuggerd device.db fileWork install-recovery.sh pidof root3 su supolicy toolbox wsroot.sh
- chmod 777 Matrix ddexe debuggerd fileWork install-recovery.sh pidof su supolicy toolbox wsroot.sh
- sh
Загружает динамические библиотеки:
- libjiagu
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- RSA
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- DES
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
