Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Backdoor.547.origin
- Android.Triada.114.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) a####.shining####.com:11029
- TCP(HTTP/1.1) a####.shining####.com:11039
- TCP(HTTP/1.1) a####.syi####.com:80
- TCP(HTTP/1.1) oc.u####.com:80
- TCP(HTTP/1.1) a.appj####.com:80
- TCP(HTTP/1.1) d####.i-bigd####.net:6677
- TCP(HTTP/1.1) a####.shining####.com:11049
- TCP(HTTP/1.1) a####.shining####.com:80
- TCP(TLS/1.0) f####.b####.com:443
- TCP(TLS/1.0) g####.bdst####.com:443
- TCP(TLS/1.0) ss0.b####.com:443
- TCP(TLS/1.0) na0.bdst####.com.####.com:443
- TCP(TLS/1.0) wap.n.sh####.com:443
- TCP(TLS/1.0) box.jom####.com:443
- TCP(TLS/1.0) hpd.b####.com:443
- TCP(TLS/1.0) 1####.217.20.78:443
Запросы DNS:
- a####.shining####.com
- a####.shining####.com
- a####.syi####.com
- a####.u####.com
- a.appj####.com
- air.systemd####.com
- d####.i-bigd####.net
- f####.b####.com
- g####.bdst####.com
- hpd.b####.com
- m.b####.com
- na0.bdst####.com
- oc.u####.com
- s.bdst####.com
- ss0.b####.com
- ss1.b####.com
- ss2.b####.com
- sv.bdst####.com
Запросы HTTP GET:
- a####.shining####.com/appstore/img/076ab68619da43c0a2db611922f86247.png
- a####.shining####.com/appstore/img/284b944a108747c5b5ec9c83a726151a.png
- a####.shining####.com/appstore/img/3ec28b1c7c9d4a8abffc376bb1715d65.png
- a####.shining####.com/appstore/img/474b2dce07e644b585c6d883472b091b.png
- a####.shining####.com/appstore/img/55725b9c64a245eb99efa0568425f148.png
- a####.shining####.com/appstore/img/5cbdad76dfa7490e9cb3489029087753.png
- a####.shining####.com/appstore/img/5e985514e2184b219ce7e78cd04b3e22.png
- a####.shining####.com/appstore/img/6095a028d2e34676a722988e51daeadd.png
- a####.shining####.com/appstore/img/631aaa598ab94867840f9f80830a20d0.png
- a####.shining####.com/appstore/img/65bdee47aec44403ad835234035a9f51.jpg
- a####.shining####.com/appstore/img/7a8c87e3292d492f8f731b31e9136a02.png
- a####.shining####.com/appstore/img/7c1eacadc265439da5844310f18a1b92.png
- a####.shining####.com/appstore/img/7f3d14449c7d44afa913c3873eb94160.png
- a####.shining####.com/appstore/img/8f6599b4dc894f09938c39b0f1cd7a92.png
- a####.shining####.com/appstore/img/936bbf174c32404ea4bf468b56f16ee7.png
- a####.shining####.com/appstore/img/98aaa72d45c446f0a2c742cf58943181.png
- a####.shining####.com/appstore/img/9b135a45c3714a3fb830cdf18885bb2a.png
- a####.shining####.com/appstore/img/a635f881978f41c3b4cebab2b790e3d3.png
- a####.shining####.com/appstore/img/a7dc7dc51ebe46f2b7b474c9ddd37db6.png
- a####.shining####.com/appstore/img/b5a336586fc545a887c2f2bc09f1dcdb.jpg
- a####.shining####.com/appstore/img/bd2e9588ece94c8ba1a14014be7c9192.png
- a####.shining####.com/appstore/img/c241f433dc0d424282c328d7a8360db6.jpg
- a####.shining####.com/appstore/img/c266d1c9e1bc47359e195bdad6cc43d5.png
- a####.shining####.com/appstore/img/cfe24b4928fb43aeb1fbb4e1a0b79aff.png
- a####.shining####.com/appstore/img/da42b42970cf4f48908e4924b3cf29d3.png
- a####.shining####.com/appstore/img/e767c68beee64103a200da4ea698f375.jpg
- a####.shining####.com/appstore/img/e8336cb0393d4cf78728e6687d7c6347.png
- a####.shining####.com/appstore/img/fc513f2bb8fb4edfaea9171afc1f35dd.png
- a####.syi####.com/appstore/img/10ee7055467a4f9eb9cf712e9d9bcde4.png
- a####.syi####.com/appstore/img/14bb73360dfa4cbe8dd9b81a9f8131d6.jpg
- a####.syi####.com/appstore/img/295defd5d60b451f96130e7a7053884b.png
- a####.syi####.com/appstore/img/2e4d8ef1030440b5a129d4a799613bf0.png
- a####.syi####.com/appstore/img/48256352af974d45b035cdd9d9d5ac5a.jpg
- a####.syi####.com/appstore/img/83ad35329baf464a91086138e1396664.jpg
- a####.syi####.com/appstore/img/a9e06f57c2b84b9f96f5c10df45f8fe5.png
- a####.syi####.com/appstore/img/ba6ddc4479f84407b581600622d4d646.png
- a####.syi####.com/appstore/img/e39201c6a20044daa75fa96d4621011b.png
- a####.syi####.com/appstore/img/e4ede8b79de8496eabe5326c5b20e99b.png
- a####.syi####.com/appstore/img/ed208b5435a1424d9bd9b0f63435a985.png
- a####.syi####.com/appstore/img/f1c80005a2a340a8b32f36561d9c51d2.jpg
- a####.syi####.com/appstore/img/ff60ff01a28642ae98367bb6c9144492.png
Запросы HTTP POST:
- a####.shining####.com:11029/
- a####.shining####.com:11039/
- a####.shining####.com:11049/
- a####.u####.com/app_logs
- a.appj####.com/ad-service/ad/mark
- d####.i-bigd####.net:6677/
- oc.u####.com/v2/check_config_update
- oc.u####.com/v2/get_update_time
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/.log.lock
- /data/data/####/.log.ls
- /data/data/####/24c12a32-c9a6-414f-9558-b239d8c512d1.zip
- /data/data/####/MF_CFG-journal
- /data/data/####/MF_SQdb-journal
- /data/data/####/MF_STATS-journal
- /data/data/####/SuperWifiKey.xml
- /data/data/####/ad_config.xml
- /data/data/####/com_ex_dsp.db-journal
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/f_000004
- /data/data/####/f_000005
- /data/data/####/f_000006
- /data/data/####/f_000007
- /data/data/####/f_000008
- /data/data/####/index
- /data/data/####/indion.xml
- /data/data/####/initdata.xml
- /data/data/####/jg_app_update_settings_random.xml
- /data/data/####/libjiagu.so
- /data/data/####/liblive.so
- /data/data/####/look
- /data/data/####/mobclick_agent_online_setting_com.qixiao.wifikey.xml
- /data/data/####/onlineconfig_agent_online_setting_com.qixiao.wifikey.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/zlook
- /data/media/####/.init
- /data/media/####/.sks
- /data/media/####/076ab68619da43c0a2db611922f86247.dt
- /data/media/####/14bb73360dfa4cbe8dd9b81a9f8131d6
- /data/media/####/284b944a108747c5b5ec9c83a726151a
- /data/media/####/3ec28b1c7c9d4a8abffc376bb1715d65
- /data/media/####/474b2dce07e644b585c6d883472b091b.dt
- /data/media/####/48256352af974d45b035cdd9d9d5ac5a
- /data/media/####/55725b9c64a245eb99efa0568425f148
- /data/media/####/5cbdad76dfa7490e9cb3489029087753
- /data/media/####/5cbdad76dfa7490e9cb3489029087753.dt
- /data/media/####/5e985514e2184b219ce7e78cd04b3e22.dt
- /data/media/####/6095a028d2e34676a722988e51daeadd.dt
- /data/media/####/631aaa598ab94867840f9f80830a20d0
- /data/media/####/65bdee47aec44403ad835234035a9f51
- /data/media/####/7a8c87e3292d492f8f731b31e9136a02.dt
- /data/media/####/7c1eacadc265439da5844310f18a1b92
- /data/media/####/7c1eacadc265439da5844310f18a1b92.dt
- /data/media/####/7f3d14449c7d44afa913c3873eb94160.dt
- /data/media/####/83ad35329baf464a91086138e1396664
- /data/media/####/8f6599b4dc894f09938c39b0f1cd7a92.dt
- /data/media/####/936bbf174c32404ea4bf468b56f16ee7.dt
- /data/media/####/98aaa72d45c446f0a2c742cf58943181
- /data/media/####/9b135a45c3714a3fb830cdf18885bb2a.dt
- /data/media/####/a635f881978f41c3b4cebab2b790e3d3
- /data/media/####/a635f881978f41c3b4cebab2b790e3d3.dt
- /data/media/####/a7dc7dc51ebe46f2b7b474c9ddd37db6.dt
- /data/media/####/b5a336586fc545a887c2f2bc09f1dcdb
- /data/media/####/bd2e9588ece94c8ba1a14014be7c9192
- /data/media/####/c241f433dc0d424282c328d7a8360db6
- /data/media/####/c266d1c9e1bc47359e195bdad6cc43d5.dt
- /data/media/####/cfe24b4928fb43aeb1fbb4e1a0b79aff.dt
- /data/media/####/da42b42970cf4f48908e4924b3cf29d3
- /data/media/####/da42b42970cf4f48908e4924b3cf29d3.dt
- /data/media/####/e767c68beee64103a200da4ea698f375
- /data/media/####/e8336cb0393d4cf78728e6687d7c6347.dt
- /data/media/####/f1c80005a2a340a8b32f36561d9c51d2
- /data/media/####/fc513f2bb8fb4edfaea9171afc1f35dd
- /data/media/####/ff60ff01a28642ae98367bb6c9144492
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- chmod 777 <Package Folder>/files/look
- sh
Загружает динамические библиотеки:
- libjiagu
- liblive
Использует следующие алгоритмы для шифрования данных:
- DES-ECB-NoPadding
Использует следующие алгоритмы для расшифровки данных:
- DES-ECB-NoPadding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
