Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.683.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) cdn.game####.org:80
- TCP(HTTP/1.1) cdn.app.4####.####.com:80
- TCP(HTTP/1.1) pus.al####.com:80
- TCP(HTTP/1.1) pss.al####.com:80
- TCP(HTTP/1.1) cdn.app.h####.####.com:80
- TCP(HTTP/1.1) www.go####.com:80
- TCP(HTTP/1.1) cdn.img.h####.####.com:80
- TCP(HTTP/1.1) 1####.76.224.67:80
- TCP(TLS/1.0) ssl.gst####.com:443
- TCP(TLS/1.0) www.go####.nl:443
- TCP(TLS/1.0) pns.al####.com:443
- TCP(TLS/1.0) www.go####.com:443
- TCP(TLS/1.0) adser####.go####.com:443
- TCP(TLS/1.0) www.gst####.com:443
- TCP(TLS/1.0) l####.4####.top:443
Запросы DNS:
- adser####.go####.com
- cdn.app.4####.top
- cdn.app.h####.top
- cdn.game####.org
- cdn.img.h####.top
- l####.4####.top
- pns.al####.com
- pss.al####.com
- pus.al####.com
- ssl.gst####.com
- www.go####.com
- www.go####.nl
- www.gst####.com
Запросы HTTP GET:
- cdn.app.4####.####.com/swenjian/you
- cdn.app.h####.####.com/upload/201804/24/app/20180424175433292.apk
- cdn.game####.org/strategy/base
- cdn.game####.org/strategy/loss_4.3
- cdn.game####.org/strategy/sul18
- cdn.img.h####.####.com/upload/201804/24/img/20180424175432183.png
- pus.al####.com/kernal/sdkcontrol/vod_android-mobile_x86_9.1.1.1220.jpg
- www.go####.com/complete/search?hl=####&client=####&q=####
Запросы HTTP POST:
- pss.al####.com/iku/log/acc
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/1b932814-1e82-4e9d-99fc-0551dca85a8f
- /data/data/####/32edd79a240b5f1e461d069caab1ec3e
- /data/data/####/3c03a3fc-e645-41cc-8048-551b85604c1a
- /data/data/####/58b294a3-a2da-4101-befe-35754f8ec2ad
- /data/data/####/597994ce-a8c2-46b0-a954-a144f834b944.jar
- /data/data/####/Matrix
- /data/data/####/SUBOXLOG_
- /data/data/####/a9948ff7-b7c6-4849-8e97-84f993f07c83
- /data/data/####/alldown.xml
- /data/data/####/ddexe
- /data/data/####/debuggerd
- /data/data/####/fileWork
- /data/data/####/h.jar
- /data/data/####/h.xml
- /data/data/####/install-recovery.sh
- /data/data/####/libjiagu1807217344.so
- /data/data/####/mivmi.xml
- /data/data/####/pcdnconfigs.xml
- /data/data/####/pcdnconfigs.xml.bak
- /data/data/####/pidof
- /data/data/####/qihoo_jiagu_crash_report.xml
- /data/data/####/su
- /data/data/####/supolicy
- /data/data/####/toolbox
- /data/data/####/vmeni.db-journal
- /data/data/####/wsroot.sh
- /data/media/####/.nomedia
- /data/media/####/9b04a7237b9c0c19401047bf2984a06f.apk
- /data/media/####/cl.tmp
- /data/media/####/dv.tmp
- /data/media/####/dv.tmp (deleted)
- /data/media/####/fb0180627c2a1
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu1807217344.so
- chmod 777 /storage/emulated/0/instal/9b04a7237b9c0c19401047bf2984a06f.apk
- chmod 777 Matrix ddexe debuggerd fileWork install-recovery.sh pidof su supolicy toolbox wsroot.sh
- sh
Загружает динамические библиотеки:
- libjiagu1807217344
- pcdn_acc
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
