Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Backdoor.657.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) 1####.55.28.235:80
- TCP(HTTP/1.1) ga####.lotu####.com:80
- TCP(HTTP/1.1) w.a####.ap####.####.com:80
- TCP(HTTP/1.1) co####.a####.a####.####.com:80
- TCP(HTTP/1.1) a.e####.cn:80
- TCP(HTTP/1.1) api.map.b####.com:80
- TCP(HTTP/1.1) api.e####.cn:80
- TCP(HTTP/1.1) pic.ange####.cn:80
- TCP(HTTP/1.1) ga####.lotu####.com:88
- TCP(TLS/1.0) sh.wagbr####.alibaba####.com:443
- TCP(TLS/1.0) s####.w.a####.####.com:443
Запросы DNS:
- a.e####.cn
- api.e####.cn
- api.map.b####.com
- co####.in####.com
- ga####.lotu####.com
- i.w.in####.com
- on####.lotu####.com
- pic.ange####.cn
- plb####.u####.com
- s####.w.in####.com
- u####.u####.com
Запросы HTTP GET:
- a.e####.cn/public/getClickUrlList.shtml?lng=####&sd=####&screenheight=##...
- a.e####.cn/public/isDebugAd.shtml?ts=####&appid=####&sign=####
- a.e####.cn/public/rab.shtml?id=####&network=####&machine=####
- a.e####.cn/public/showUrlVisit.shtml?os=####&osversion=####&appversion=#...
- api.e####.cn/public/getSecondaryHomeData.shtml?machine=####&version=####...
- api.map.b####.com/location/ip?ak=####&coor=####
- pic.ange####.cn/web/246434120.jpg!m3
Запросы HTTP POST:
- co####.a####.a####.####.com/config-server/v1/config/secure.cfg
- ga####.lotu####.com/?st=####&sv=####&tm=####&sid=GyA####&apn=####&ct=###...
- ga####.lotu####.com:88/?mid=####&st=####&sv=####&tm=####&sid=GyA####&apn...
- w.a####.ap####.####.com/showad.asm
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/AdloadStore.xml
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/Ji.xml
- /data/data/####/MessageStore.db-journal
- /data/data/####/MsgLogStore.db-journal
- /data/data/####/UM_PROBE_DATA.xml
- /data/data/####/a==7.3.1&&4.31.35_1524594280643_envelope.log
- /data/data/####/cn.ecook.xml
- /data/data/####/cn.ecookad.library.xml
- /data/data/####/collectiondatabase
- /data/data/####/collectiondatabase-journal
- /data/data/####/com.google.android.gms.measurement.prefs.xml
- /data/data/####/com.im.keyValueStore.aes_key_store.xml
- /data/data/####/com.im.keyValueStore.config_store.xml
- /data/data/####/com.im.keyValueStore.sdk_version_store.xml
- /data/data/####/com.im.keyValueStore.user_info_store.xml
- /data/data/####/com.im_7.0.1.db-journal
- /data/data/####/d==7.3.1&&4.31.35_1524594280873_envelope.log
- /data/data/####/d==7.3.1&&4.31.35_1524594284591_envelope.log
- /data/data/####/d==7.3.1&&4.31.35_1524594287682_envelope.log
- /data/data/####/d==7.3.1&&4.31.35_1524594295203_envelope.log
- /data/data/####/d==7.3.1&&4.31.35_1524594306428_envelope.log
- /data/data/####/d==7.3.1&&4.31.35_1524594310871_envelope.log
- /data/data/####/d==7.3.1&&4.31.35_1524594326493_envelope.log
- /data/data/####/d==7.3.1&&4.31.35_1524594337253_envelope.log
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/ecookdatabase
- /data/data/####/ecookdatabase-journal
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/index
- /data/data/####/info.xml
- /data/data/####/libjiagu2063946030.so
- /data/data/####/lonLat.xml
- /data/data/####/lotuseed.apps
- /data/data/####/lotuseed.s
- /data/data/####/lotuseed.task
- /data/data/####/lotuseed_global.xml
- /data/data/####/material.db
- /data/data/####/material.db-journal
- /data/data/####/multidex.version.xml
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/um_pri.xml
- /data/data/####/umeng_common_config.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/umeng_message_state.xml
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/50lj5780xo46rpt9wntnm2tew.tmp
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/lotuseed.devid
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu2063946030.so
- df
- ls /
- ls /sys/class/thermal
- ps
Загружает динамические библиотеки:
- libjiagu2063946030
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- RSA-ECB-PKCS1Padding
- RSA-ECB-nopadding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS7Padding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к интерфейсу камеры.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации о настроках APN.
Осуществляет доступ к информации об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
