Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Backdoor.613.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) ji####.jieme####.com:8152
- TCP(HTTP/1.1) a.api-####.com:8190
- TCP(HTTP/1.1) sdk.api.zhifa####.net:10201
- TCP(HTTP/1.1) 1####.75.56.106:10201
- TCP(HTTP/1.1) v####.api.eeric####.com:80
- TCP(HTTP/1.1) nm.a####.com:80
- TCP(HTTP/1.1) www.palmfun####.cn:80
- TCP(HTTP/1.1) 1####.159.152.136:8090
- TCP(HTTP/1.1) i####.api.zhifa####.net:10001
- TCP(HTTP/1.1) 1####.159.103.205:8090
- TCP(HTTP/1.1) wn.zhifa####.net.####.net:80
- TCP(HTTP/1.1) p1.i####.cc:80
- TCP(HTTP/1.1) c####.api.zhifa####.net:10101
- TCP(HTTP/1.1) gdv.a.s####.com:80
- TCP(HTTP/1.1) 1####.129.132.111:8001
- TCP(HTTP/1.1) i####.api.zhifa####.net:10003
Запросы DNS:
- a.api-####.com
- b.api-####.com
- c####.api.zhifa####.net
- i####.api.zhifa####.net
- i####.api.zhifa####.net
- ji####.dl####.com
- ji####.jieme####.com
- l####.i####.cc
- p1.i####.cc
- pv.s####.com
- sdk.api.zhifa####.net
- v####.api.eeric####.com
- wn.zhifa####.net
- www.palmfun####.cn
Запросы HTTP GET:
- a.api-####.com:8190/sunnyinit302?channel=####&imsi=####&calltime=####&ca...
- a.api-####.com:8190/turnon302?cpid=####&packagename=####
- gdv.a.s####.com/cityjson?ie=####
- nm.a####.com/jieplginfe23/wchenhddat23
- wn.zhifa####.net.####.net/update/up01036465_66
Запросы HTTP POST:
- c####.api.zhifa####.net:10101/v2/order/get?app_id=####&t=####
- c####.api.zhifa####.net:10101/v2/splog/config?app_id=####&t=####
- i####.api.zhifa####.net:10001/v2/adconfig/get?app_id=####&t=####
- i####.api.zhifa####.net:10001/v2/bag/monitor?app_id=####&t=####
- i####.api.zhifa####.net:10001/v2/sdk/init?app_id=####&t=####
- i####.api.zhifa####.net:10001/v2/update/check?app_id=####&t=####
- i####.api.zhifa####.net:10003/v2/chis
- ji####.jieme####.com:8152/ryf_webserver/payment/checkupdate.html
- p1.i####.cc/index.php/MC/HB
- p1.i####.cc/index.php/MC/LP
- p1.i####.cc/index.php/MC/RP
- p1.i####.cc/index.php/MC/UPM
- sdk.api.zhifa####.net:10201/v2/sdk/report?app_id=####&t=####
- v####.api.eeric####.com/api/payment/mobileInit.html
- v####.api.eeric####.com/api/payment/payDynamic.html
- www.palmfun####.cn/fee/active
- www.palmfun####.cn/fee/code
- www.palmfun####.cn/fee/searchpc
Изменения в файловой системе:
Создает следующие файлы:
- /data/anr/traces.txt
- /data/data/####/.fb
- /data/data/####/.fb-journal
- /data/data/####/.jg.ic
- /data/data/####/347781996620052-journal
- /data/data/####/92n5f0v0E246w6b9x991z8v797b433.xml
- /data/data/####/MySms.xml
- /data/data/####/base2121.jar
- /data/data/####/com.ljy.flashlight.com.sdk.a.a_mseg.db
- /data/data/####/com.ljy.flashlight.com.sdk.a.a_mseg.db-journal
- /data/data/####/com.ljy.flashlight.xml
- /data/data/####/config50325.xml
- /data/data/####/config50325.xml.bak (deleted)
- /data/data/####/jiepay_config.xml
- /data/data/####/jiepayplugin.apk
- /data/data/####/jiepayplugin.apkdata
- /data/data/####/jy_dex_cnf.xml
- /data/data/####/libjiagu-871349188.so
- /data/data/####/new_md.jar
- /data/data/####/p2_call.xml
- /data/data/####/p2_data.xml
- /data/data/####/p2_edition.xml
- /data/data/####/p2_epay_db
- /data/data/####/p2_epay_db-journal
- /data/data/####/p2_epay_share.xml
- /data/data/####/ppj.jar
- /data/data/####/pz_sharedpre_cmreaderlogininfo.xml
- /data/data/####/up01036465_66
- /data/data/####/up01036465_66.jar
- /data/data/####/webview.db-journal
- /data/data/####/wyzf_configcom.yf.y.f.init.util.e.xml
- /data/data/####/wyzf_configcom.yf.y.f.init.util.e.xml.bak
- /data/data/####/yf.apk
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
- cat /proc/cpuinfo
- chmod 755 <Package Folder>/.jiagu/libjiagu-871349188.so
Загружает динамические библиотеки:
- libjiagu-871349188
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- DES
- DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES
- AES-CBC-PKCS5Padding
- DES
- DES-CBC-PKCS5Padding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к интерфейсу камеры.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из смс сообщений.
Осуществляет доступ к информации о входящих/исходящих звонках.
Осуществляет доступ к информации об отправленых/принятых смс.
