Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.683.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) pub####.any####.com:80
- TCP(HTTP/1.1) en.any####.com:80
- TCP(HTTP/1.1) 47.92.1####.96:80
- TCP(HTTP/1.1) cdn.app.e####.####.com:80
- TCP(HTTP/1.1) cdn.game####.org:80
- TCP(HTTP/1.1) loc.map.b####.com:80
- TCP(HTTP/1.1) 1####.76.224.67:80
- TCP(TLS/1.0) y####.e####.top:443
- TCP(TLS/1.0) api.any####.com:443
- TCP(TLS/1.0) 1####.217.17.110:443
- TCP(TLS/1.0) and####.cli####.go####.com:443
Запросы DNS:
- a####.u####.com
- and####.cli####.go####.com
- api.any####.com
- cdn.app.e####.top
- cdn.game####.org
- en.any####.com
- loc.map.b####.com
- mt####.go####.com
- pub####.any####.com
- y####.e####.top
Запросы HTTP GET:
- cdn.app.e####.####.com/sfile/201804/29/all/cp_V3.0.2.txt
- cdn.game####.org/strategy/UnknownDev
- cdn.game####.org/strategy/base
- cdn.game####.org/strategy/dev_root
- cdn.game####.org/strategy/dev_root2
- cdn.game####.org/strategy/larger4.3
- cdn.game####.org/strategy/loss_4.3
- cdn.game####.org/strategy/sul18
- cdn.game####.org/strategy/symlink-adbd
- en.any####.com/plugin/xunfeispeech/x86_xunfeispeech.apk
- pub####.any####.com/download/SdkTheme/CardTheme/CartOne.zip
- pub####.any####.com/download/SdkTheme/CardTheme/theme.js
- pub####.any####.com/download/SdkTheme/CountDownTheme/CountDownOne.zip
- pub####.any####.com/download/SdkTheme/CountDownTheme/theme.js
- pub####.any####.com/download/SdkTheme/DiaryTheme/DiaryOne.zip
- pub####.any####.com/download/SdkTheme/DiaryTheme/theme.js
- pub####.any####.com/download/SdkTheme/IndesignTheme/IndesignOne.zip
- pub####.any####.com/download/SdkTheme/IndesignTheme/theme.js
- pub####.any####.com/download/SdkTheme/PictureStoryTheme/PictureStoryOne....
- pub####.any####.com/download/SdkTheme/PictureStoryTheme/theme.js
- pub####.any####.com/download/SdkTheme/TodoTheme/TodoOne.zip
- pub####.any####.com/download/SdkTheme/TodoTheme/theme.js
Запросы HTTP POST:
- a####.u####.com/app_logs
- loc.map.b####.com/offline_loc
- loc.map.b####.com/sdk.php
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.DS_Store
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/1.jpg
- /data/data/####/1740c449fc10be62df60ba0f18696c9f
- /data/data/####/2.jpg
- /data/data/####/244c573f-08ee-4a21-bdd2-27a75f71bcde
- /data/data/####/3.jpg
- /data/data/####/32edd79a240b5f1e461d069caab1ec3e
- /data/data/####/3546fd8c-d9c5-4f11-a2e2-bed081bb8652
- /data/data/####/3f792898-06ed-478e-8ebc-e8500b0a1553
- /data/data/####/4.jpg
- /data/data/####/5.jpg
- /data/data/####/71484dca-34f3-425c-8b6d-ead60ec620ef
- /data/data/####/8b6f263391259b7a8e5f58ee71852ca8
- /data/data/####/8c004a8d-64ac-4ca2-9151-99dcde476299
- /data/data/####/8e4e8116-ec5a-49fa-9f4f-7f592a030100
- /data/data/####/956c82de-376a-44c1-a6d9-df3895e43080
- /data/data/####/Matrix
- /data/data/####/SUBOXLOG_
- /data/data/####/V3.0.2.txt
- /data/data/####/V3.0.2.xml
- /data/data/####/b0141e478b25af7c40a8cca8de6c4708
- /data/data/####/b18a021d11a3004d25017230b681476b
- /data/data/####/back_up.png
- /data/data/####/background_default.jpg
- /data/data/####/backgroundimg.png
- /data/data/####/base.css
- /data/data/####/base.js
- /data/data/####/bg.png
- /data/data/####/bgDown.png
- /data/data/####/bgDowntop.png
- /data/data/####/bgLeft.png
- /data/data/####/bgRight.png
- /data/data/####/bgTop.png
- /data/data/####/bg_bottom.jpg
- /data/data/####/bg_done.png
- /data/data/####/bg_todo.png
- /data/data/####/browsedPage.js
- /data/data/####/btn_add_activation.png
- /data/data/####/btn_add_h1.png
- /data/data/####/btn_add_h2.png
- /data/data/####/btn_add_line.png
- /data/data/####/btn_add_newmess.png
- /data/data/####/btn_add_pic.png
- /data/data/####/btn_add_text.png
- /data/data/####/btn_close.png
- /data/data/####/btn_cut.png
- /data/data/####/btn_delete.png
- /data/data/####/btn_deletetodo.png
- /data/data/####/btn_luy_a.png
- /data/data/####/btn_luy_b.gif
- /data/data/####/btn_move.png
- /data/data/####/btn_picture.png
- /data/data/####/c61913b615fb6224701377a119081f36
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/color.png
- /data/data/####/com.smbj.otyag_preferences.xml
- /data/data/####/count.xml
- /data/data/####/cover_acquiesce.jpg
- /data/data/####/cover_beauty_imagination.png
- /data/data/####/cover_blue_forest.png
- /data/data/####/cover_default.png
- /data/data/####/cover_diary.jpg
- /data/data/####/cover_excerpt.jpg
- /data/data/####/cover_family.jpg
- /data/data/####/cover_fantasy_fishbowl.png
- /data/data/####/cover_feeling.jpg
- /data/data/####/cover_flower_field.png
- /data/data/####/cover_learn.jpg
- /data/data/####/cover_lovely_bird.png
- /data/data/####/cover_music_door.png
- /data/data/####/cover_rectangle.png
- /data/data/####/cover_sushi_tower.png
- /data/data/####/cover_watercolor.png
- /data/data/####/cover_working.jpg
- /data/data/####/d5cfa447-a40d-4d6d-9d42-e03503eb8d79.jar
- /data/data/####/ddexe
- /data/data/####/debuggerd
- /data/data/####/defoult.png
- /data/data/####/device.db
- /data/data/####/done.png
- /data/data/####/e7350de3-0e5d-4c3f-a47d-1e39824c3515
- /data/data/####/editPage.js
- /data/data/####/edit_icon_mood_amazed.png
- /data/data/####/edit_icon_mood_angry.png
- /data/data/####/edit_icon_mood_fascination.png
- /data/data/####/edit_icon_mood_happy.png
- /data/data/####/edit_icon_mood_kiss.png
- /data/data/####/edit_icon_mood_sigh.png
- /data/data/####/edit_icon_mood_silence.png
- /data/data/####/edit_icon_mood_sleep.png
- /data/data/####/edit_icon_mood_stupefied.png
- /data/data/####/edit_icon_mood_sweat.png
- /data/data/####/edit_icon_mood_unhappy.png
- /data/data/####/edit_icon_mood_wept.png
- /data/data/####/edit_icon_wether_brume.png
- /data/data/####/edit_icon_wether_drizzly.png
- /data/data/####/edit_icon_wether_greatsnow.png
- /data/data/####/edit_icon_wether_hail.png
- /data/data/####/edit_icon_wether_haze.png
- /data/data/####/edit_icon_wether_heavyrain.png
- /data/data/####/edit_icon_wether_litterovercast.png
- /data/data/####/edit_icon_wether_moderaterain.png
- /data/data/####/edit_icon_wether_moderatesnow.png
- /data/data/####/edit_icon_wether_overcast.png
- /data/data/####/edit_icon_wether_scouther.png
- /data/data/####/edit_icon_wether_shower.png
- /data/data/####/edit_icon_wether_sleet.png
- /data/data/####/edit_icon_wether_sunny.png
- /data/data/####/edit_icon_wether_thunderstorm.png
- /data/data/####/editor_look.js
- /data/data/####/end.png
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/export.js
- /data/data/####/export_note.js
- /data/data/####/ff.jar
- /data/data/####/fff8c321-de93-4684-b0af-cdb4492a0223
- /data/data/####/fileWork
- /data/data/####/firll.dat
- /data/data/####/icon_btn_addtodo.png
- /data/data/####/icon_btn_cancel.png
- /data/data/####/icon_edit.png
- /data/data/####/icon_location.png
- /data/data/####/icon_mark.png
- /data/data/####/icon_set_pic.png
- /data/data/####/img_splash_bg.jpg
- /data/data/####/index.css
- /data/data/####/index.html
- /data/data/####/index.js
- /data/data/####/info.json
- /data/data/####/install-recovery.sh
- /data/data/####/jquery-1.11.3.min.js
- /data/data/####/jquery.event.ue.js
- /data/data/####/jquery.udraggable.js
- /data/data/####/kr.xml
- /data/data/####/libcuid.so
- /data/data/####/libjiagu.so
- /data/data/####/libmp3lame.so
- /data/data/####/libmsc.so
- /data/data/####/list_disc.woff
- /data/data/####/logo.png
- /data/data/####/mark_356507059351895.db
- /data/data/####/mark_356507059351895.db-journal
- /data/data/####/mess_bg.jpg
- /data/data/####/mt.jar
- /data/data/####/new_browster.js
- /data/data/####/new_editer_5_2_5.js
- /data/data/####/notdone.png
- /data/data/####/ofl.config
- /data/data/####/ofl_location.db
- /data/data/####/ofl_location.db-journal
- /data/data/####/ofl_statistics.db
- /data/data/####/ofl_statistics.db-journal
- /data/data/####/pic_bottom.png
- /data/data/####/pic_bottom_pen.png
- /data/data/####/pic_digest_down.png
- /data/data/####/pic_digest_top.png
- /data/data/####/pic_head.png
- /data/data/####/pic_loading.png
- /data/data/####/pic_mod.jpg
- /data/data/####/pidof
- /data/data/####/play_audio.png
- /data/data/####/remind_false.png
- /data/data/####/remind_true.png
- /data/data/####/rendering.png
- /data/data/####/root3
- /data/data/####/select.png
- /data/data/####/share_common_v1.js
- /data/data/####/su
- /data/data/####/supolicy
- /data/data/####/t_u.db-journal
- /data/data/####/text_bg.png
- /data/data/####/theme.js
- /data/data/####/thumbnail.jpg
- /data/data/####/tool_edit_img.css
- /data/data/####/tool_theme.css
- /data/data/####/toolbox
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/v1.png
- /data/data/####/vbz.xml
- /data/data/####/video_look_v7.js
- /data/data/####/voice_playenter.png
- /data/data/####/voice_playing.png
- /data/data/####/web_edit_v3.10.js
- /data/data/####/wsroot.sh
- /data/data/####/x86_xunfeispeech.apk
- /data/data/####/yinji_common.js
- /data/data/####/zhezhao.png
- /data/media/####/.cuid
- /data/media/####/.cuid2
- /data/media/####/.nomedia
- /data/media/####/CartOne.zip
- /data/media/####/CountDownOne.zip
- /data/media/####/DiaryOne.zip
- /data/media/####/DiaryTheme.zip
- /data/media/####/DigestTheme.zip
- /data/media/####/ExportOne.zip
- /data/media/####/IndesignOne.zip
- /data/media/####/PictureStoryOne.zip
- /data/media/####/Roboto-Light-subset.ttf
- /data/media/####/TheClassic.zip
- /data/media/####/TheFavorite.zip
- /data/media/####/TheOne.zip
- /data/media/####/TheWhite.zip
- /data/media/####/TodoOne.zip
- /data/media/####/cardo.ttf
- /data/media/####/conlts.dat
- /data/media/####/dadhand.ttf
- /data/media/####/def.ttf
- /data/media/####/kai.ttf
- /data/media/####/ller.dat
- /data/media/####/ls.db
- /data/media/####/ls.db-journal
- /data/media/####/quicksand.ttf
- /data/media/####/test.0
- /data/media/####/x86_xunfeispeech.apk
- /data/media/####/xingkai.ttf
- /data/media/####/young.ttf
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- chmod 777 Matrix ddexe debuggerd device.db fileWork install-recovery.sh pidof root3 su supolicy toolbox wsroot.sh
- chmod 777 Matrix ddexe debuggerd fileWork install-recovery.sh pidof su supolicy toolbox wsroot.sh
- sh
Загружает динамические библиотеки:
- libjiagu
- locSDK6a
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- DES
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
