Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Adware.Dowgin.14.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) w####.q####.dn.####.com:80
- TCP(HTTP/1.1) d2.ireader####.com:80
- TCP(HTTP/1.1) a####.you####.com:80
- TCP(TLS/1.0) www.ireader####.com:443
- TCP(TLS/1.0) 1####.217.20.110:443
Запросы DNS:
- a####.you####.com
- d1.ireader####.com
- d2.ireader####.com
- fb.u####.com
- t####.qin####.com
- www.ireader####.com
Запросы HTTP GET:
- a####.you####.com/sx/GetConfigInfo.aspx?ver=####&passID=####&ver=####&cl...
- d2.ireader####.com/GoodBooks/Books/cover/2012-06-26/0c796258-1943-48d1-8...
- d2.ireader####.com/GoodBooks/Books/cover/2013-12-05/57a9d324-0335-4a5c-8...
- d2.ireader####.com/GoodBooks/Books/cover/2014-07-02/db1373cf-a267-42c5-8...
- d2.ireader####.com/GoodBooks/Books/cover/2015-04-02/9fdd98a0-a84a-4d6f-8...
- d2.ireader####.com/GoodBooks/Books/cover/2015-04-03/42444ec4-d37a-40c7-a...
- d2.ireader####.com/GoodBooks/Books/cover/2015-04-16/6d50279f-05f8-46ec-b...
- d2.ireader####.com/GoodBooks/Books/cover/2015-06-18/333f357a-5835-4d8d-9...
- d2.ireader####.com/GoodBooks/Books/cover/2015-06-18/74529e27-7026-4d22-9...
- d2.ireader####.com/GoodBooks/Books/cover/2015-06-18/feb8ad64-d0ef-4236-9...
- d2.ireader####.com/GoodBooks/Books/cover/2015-09-02/56d339dd-454b-45f6-8...
- d2.ireader####.com/GoodBooks/Books/cover/2015-09-14/757fd4ef-c61e-4e9c-8...
- d2.ireader####.com/GoodBooks/Books/cover/2015-11-05/494a24be-9bfb-40aa-8...
- d2.ireader####.com/GoodBooks/Books/cover/2015-12-08/d0349774-f39a-412b-a...
- d2.ireader####.com/GoodBooks/Books/cover/2015-12-15/6595ac0f-0456-4d2c-b...
- d2.ireader####.com/GoodBooks/Books/cover/2015-12-18/4adeddb7-d451-4541-9...
- d2.ireader####.com/GoodBooks/Books/cover/2016-03-11/25a565f5-0ff4-4e76-b...
- d2.ireader####.com/GoodBooks/Books/cover/2016-12-24/074646e9-2f9c-4fef-a...
- d2.ireader####.com/GoodBooks/Books/cover/2017-08-18/eba337ba-f445-45b7-8...
- d2.ireader####.com/GoodBooks/Books/cover/2017-10-12/27e37b50-39d4-4787-b...
- d2.ireader####.com/GoodBooks/Books/cover/2017-10-19/8f930cd0-6b69-47b4-8...
- d2.ireader####.com/GoodBooks/Books/cover/2017-11-03/1a27f33c-7ad9-4392-b...
- d2.ireader####.com/GoodBooks/Books/cover/2017-12-18/a1c99d59-9005-4abc-b...
- d2.ireader####.com/GoodBooks/Books/cover/2018-01-12/a802026c-c434-4248-8...
- d2.ireader####.com/GoodBooks/Books/cover/2018-01-17/d4a8654c-7150-4957-b...
- d2.ireader####.com/GoodBooks/Books/cover/2018-02-07/dbf2efdf-d14c-4dde-9...
- d2.ireader####.com/GoodBooks/Books/cover/2018-02-09/925458b2-0fa6-4d69-a...
- d2.ireader####.com/GoodBooks/Books/cover/2018-02-11/9737e427-426c-4049-8...
- d2.ireader####.com/GoodBooks/Books/cover/2018-02-11/e87116b6-f1ab-4b5b-8...
- d2.ireader####.com/GoodBooks/Books/cover/2018-04-11/f613a616-9ba8-4b2c-a...
- d2.ireader####.com/GoodBooks/Books/cover/2018-04-13/d95cf525-d675-451f-8...
- w####.q####.dn.####.com/sxsplash20160727_579817d469bca.jpg
- w####.q####.dn.####.com/sxsplash20160727_579817da499fb.jpg
- w####.q####.dn.####.com/sxsplash20160727_579817de0f457.jpg
- w####.q####.dn.####.com/sxsplash20160727_579817e1da72a.jpg
- w####.q####.dn.####.com/sxsplash20160727_57981808344f4.jpg
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/20046f0f6f80b38f892986c3c06e03cex.jar
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/aireader_v2-journal
- /data/data/####/com_ireader_city_you_qi.xml
- /data/data/####/ireader.db-journal
- /data/data/####/libjiagu-54568722.so
- /data/data/####/multidex.version.xml
- /data/data/####/umeng_feedback_conversations.xml
- /data/data/####/umeng_feedback_user_info.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_message_state.xml
- /data/data/####/webview.db-journal
- /data/data/####/www.ireadercity.com.443
- /data/data/####/z033a3e2a.xml
- /data/media/####/.did
- /data/media/####/097c314a66c640b48a1485dad863202ajpgx.tmp
- /data/media/####/0f3e386b5437491a81427bfb76ae6be6jpgx.tmp
- /data/media/####/0f3e386b5437491a81427bfb76ae6be6jpgx_bak
- /data/media/####/1269847186974772bfcdd9aed0b50a7ajpgx.tmp
- /data/media/####/1b46e1c0dabf4d6c81ebaeb5ef9fab4bjpgx.tmp
- /data/media/####/1d6724df47d34f39ace0b66248dc1b2bjpgx.tmp
- /data/media/####/2863e30791d847968573e2a4d4c53b5fjpgx.tmp
- /data/media/####/2cf3c6e9c022484792ade638f8335354jpgx.tmp
- /data/media/####/2e6f0c175ee34bc3a7d594fd39dd2afejpgx.tmp
- /data/media/####/370379c4edba4c3f9547824ae59e1c89jpgx.tmp
- /data/media/####/38e7d9083ff84455a8644f8cd8ea94cfjpgx.tmp
- /data/media/####/3ef935a4047a4fcd860acc8b5247dba1jpgx.tmp
- /data/media/####/3f9a6c1bf3ac4a13a77e15cf8763d478jpgx.tmp
- /data/media/####/3fb34dfdae4f4e1da9617012fa0406adjpgx.tmp
- /data/media/####/410951eaf38444588d25c2c0222f6c6bjpgx.tmp
- /data/media/####/41eb6e1ad0ba49cf95ac76ec4b2f9540jpgx.tmp
- /data/media/####/4463774ae07f443987f70d4fe11af18bjpgx.tmp
- /data/media/####/484c2c7313be4175b8b866a40a9cf9a2.dat
- /data/media/####/494453fb2bd6496284923100d7aa48c8.dat
- /data/media/####/49fc948b38da466bb266f659c6605169jpgx.tmp
- /data/media/####/51062c499a3840b39aedf33ce8a8f612jpgx.tmp
- /data/media/####/51a6a78cc5a548339523e2fb8e09bc32.dat
- /data/media/####/64cb9d31c7a945c6bb251de8b48c2222.dat
- /data/media/####/650e2819079b417faac91b846e6935e5jpgx.tmp
- /data/media/####/83f7eb74e9d2423da17f4ee2b61aadf5jpgx.tmp
- /data/media/####/86cc91cd7489487783355c208bfa3f15.dat
- /data/media/####/8b21f75f985348a7a854e7a7285c1c65jpgx.tmp
- /data/media/####/98452a764cf44ef383913e38ed48b913jpgx.tmp
- /data/media/####/9c841685f9bc439c925d6b478ab86bc1jpgx.tmp
- /data/media/####/9ce331b0c9c04bb7af6e0e360e11cbcfjpgx.tmp
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/aa179081f0d049a29289579104656a87jpgx.tmp
- /data/media/####/adv_self_config.dat
- /data/media/####/aec1a75503b8457ca91810fc25d7ecbbjpgx.tmp
- /data/media/####/b9d11f6f063b405f805043801144a289jpgx.tmp
- /data/media/####/chapter_info_list.online
- /data/media/####/config.data
- /data/media/####/d4b5a325ec2b4612912bd64e247b5132jpgx.tmp
- /data/media/####/d694b8be2b1c457eba354e19ffef32b0.dat
- /data/media/####/e9ff6ffdfeee4122a6171c2ece8c5977jpgx.tmp
- /data/media/####/f5573858f8854c5f9ffdd941cb5329aajpgx.tmp
- /data/media/####/home_infos_2.dat
- /data/media/####/home_infos_22.dat
- /data/media/####/import.dat
- /data/media/####/sxsplash20160727_579817d469bca.jpgx_bak
- /data/media/####/sxsplash20160727_579817da499fb.jpgx_bak
- /data/media/####/sxsplash20160727_579817de0f457.jpgx_bak
- /data/media/####/sxsplash20160727_579817e1da72a.jpgx_bak
- /data/media/####/sxsplash20160727_57981808344f4.jpgx_bak
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu-54568722.so
Загружает динамические библиотеки:
- libjiagu-54568722
- smssdk
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- DES
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации о зарегистрированных на устройстве аккаунтах (Google, Facebook и тд.).
Отрисовывает собственные окна поверх других приложений.
