Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.683.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.0) 4####.92.62.1:80
- TCP(HTTP/1.0) pis.al####.com:80
- TCP(HTTP/1.1) ads.tatat####.com:80
- TCP(HTTP/1.1) 842.disp####.spcd####.com:80
- TCP(HTTP/1.1) h####.opensp####.cn:80
- TCP(HTTP/1.1) etatase####.tatat####.com:80
- TCP(HTTP/1.1) cdn.app.ne####.####.com:80
- TCP(HTTP/1.1) d####.opensp####.cn:80
- TCP(HTTP/1.1) pss.al####.com:80
- TCP(HTTP/1.1) oss.tatat####.com:80
- TCP(HTTP/1.1) duo####.tatat####.com:80
- TCP(HTTP/1.1) pus.al####.com:80
- TCP(HTTP/1.1) statse####.tatat####.com:1180
- TCP(HTTP/1.1) 1####.76.224.67:80
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) go####.yo####.com:80
- TCP(HTTP/1.1) tata-v####.img-cn-####.aliy####.com:80
- TCP(HTTP/1.1) cdn.img.h####.####.com:80
- TCP(HTTP/1.1) cdn.game####.org:80
- TCP(TLS/1.0) ho####.h####.top:443
- TCP(TLS/1.0) pns.al####.com:443
- UDP 1####.168.64.254:4466
Запросы DNS:
- a####.u####.com
- ads.tatat####.com
- cdn.app.ne####.top
- cdn.game####.org
- cdn.img.h####.top
- d####.opensp####.cn
- duo####.tatat####.com
- etatase####.tatat####.com
- f####.xh####.com
- go####.yo####.com
- h####.opensp####.cn
- ho####.h####.top
- oss.tatat####.com
- pis.al####.com
- pns.al####.com
- pss.al####.com
- pus.al####.com
- statse####.tatat####.com
- tata-v####.img-cn-####.aliy####.com
Запросы HTTP GET:
- 842.disp####.spcd####.com/dian/eng/3144page_003.jpg
- 842.disp####.spcd####.com/dian/eng/3146page_004.jpg
- 842.disp####.spcd####.com/dian/eng/3148page_005.jpg
- 842.disp####.spcd####.com/dian/eng/41page_002.jpg
- cdn.app.ne####.####.com/swenjian/fiv
- cdn.game####.org/strategy/UnknownDev
- cdn.game####.org/strategy/base
- cdn.game####.org/strategy/dev_root
- cdn.game####.org/strategy/dev_root2
- cdn.game####.org/strategy/larger4.3
- cdn.game####.org/strategy/loss_4.3
- cdn.game####.org/strategy/sul18
- cdn.game####.org/strategy/symlink-adbd
- cdn.img.h####.####.com/upload/201805/10/img/20180510210257372.png
- go####.yo####.com/gorgon/request.s?s=2W2lf####&ydet=####
- h####.opensp####.cn/launchconfig?t=####&p=LndxZ####
- oss.tatat####.com/audio/other/rjb_book01.png
- oss.tatat####.com/audio/xiaoxuejiaocai/2440-02c5351672c8a6d05866fec2ff50...
- oss.tatat####.com/audio/xiaoxuejiaocai/2495-da797955717a97865a8e9899774c...
- oss.tatat####.com/audio/xiaoxuejiaocai/T15yJyBvJg1RCvBVdK.jpg
- oss.tatat####.com/xhz/line/160750_5_31349c19be5653de0e8205ffd076e68a.mp3
- oss.tatat####.com/xhz/line/160758_6_31349c19be5653de0e8205ffd076e68a.mp3
- oss.tatat####.com/xiaoxue/diandubook/0b445cf088e991b406ca4d6b01940ee5.jpg
- oss.tatat####.com/xiaoxue/diandubook/50.jpg
- oss.tatat####.com/xiaoxue/diandubook/51.jpg
- oss.tatat####.com/xiaoxue/diandubook/539b030415ef88925fff634b5f1bc93a.jpg
- oss.tatat####.com/xiaoxue/diandubook/f3c40a224a7ed7ed8dfbf69f21d48661.jpg
- oss.tatat####.com/xiaoxue/diandubook/ffb28e6cc8cc1d90e4010866c5b2f9ba.jpg
- pus.al####.com/kernal/sdkcontrol/vod_android-mobile_x86_9.1.1.1220.jpg
- tata-v####.img-cn-####.aliy####.com/xhz/img/454c4c6bcaf58e222cf601ecefcb...
- tata-v####.img-cn-####.aliy####.com/xhz/img/6ce8dba119648e2b79c63576c405...
- tata-v####.img-cn-####.aliy####.com/xhz/img/6f58926458c0cbcfab193ebf69b1...
- tata-v####.img-cn-####.aliy####.com/xhz/img/83dde272cebdac27b45d40e6c8ff...
- tata-v####.img-cn-####.aliy####.com/xhz/img/aa3aa53c3312eb854dbc51db08a6...
- tata-v####.img-cn-####.aliy####.com/xhz/img/d46d895738bc1063681ba287c0f8...
- tata-v####.img-cn-####.aliy####.com/xhz/img/e317abb5a36ff8069d69eb6d83b8...
- tata-v####.img-cn-####.aliy####.com/xhz/img/e5c764e9ad18d209ed2c4fd95ab6...
Запросы HTTP POST:
- a####.u####.com/app_logs
- ads.tatat####.com/ads/rt.s?id=####
- d####.opensp####.cn/index.php/clientrequest/clientcollect/isCollect
- duo####.tatat####.com/tataeraapi/api.s?&h=####
- duo####.tatat####.com/tataeraapi/api.s?h=####
- etatase####.tatat####.com/tataeraapi/api.s?h=####&ver=####&pr=####
- pis.al####.com/p/pcdn/i.php?v=####
- pss.al####.com/iku/log/acc
- pss.al####.com/iku/log/acc?ver=####&flag=####&t=####&mytype=####
- statse####.tatat####.com:1180/stat/api.s?h=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/11fcd7e6-c53c-42e4-a5d7-c4ae42844aeb
- /data/data/####/1245851d-9dbf-4938-b1b4-29d790f32123
- /data/data/####/1740c449fc10be62df60ba0f18696c9f
- /data/data/####/322010fe-548e-42b2-b714-e7dcd0f59d56
- /data/data/####/32edd79a240b5f1e461d069caab1ec3e
- /data/data/####/4e1a7e95-487e-4110-afbf-73e41eb54f0c
- /data/data/####/5ac66c09-8611-4061-bd41-26f701b22142.jar
- /data/data/####/6c98bb20-7a88-4c6f-882c-53a065fbafda
- /data/data/####/8b6f263391259b7a8e5f58ee71852ca8
- /data/data/####/Alvin2.xml
- /data/data/####/AppStore.xml
- /data/data/####/ContextData.xml
- /data/data/####/HzActivity.xml
- /data/data/####/Matrix
- /data/data/####/RiService.jar
- /data/data/####/SUBOXLOG_
- /data/data/####/UmengLocalNotificationStore.db-journal
- /data/data/####/alldown.xml
- /data/data/####/b0141e478b25af7c40a8cca8de6c4708
- /data/data/####/b18a021d11a3004d25017230b681476b
- /data/data/####/bzwn.db-journal
- /data/data/####/c2a2d331-ce20-4ed9-ae7e-e087819f9d02
- /data/data/####/c61913b615fb6224701377a119081f36
- /data/data/####/c8a6defb-c93d-4eb0-b902-344b02c9037a
- /data/data/####/cb535d53-68cd-46eb-bbdf-a4de4684ecb8
- /data/data/####/com.iflytek.id.xml
- /data/data/####/com.wqff.wqf_preferences.xml
- /data/data/####/ddexe
- /data/data/####/debuggerd
- /data/data/####/device.db
- /data/data/####/e3dc51b2-957a-41c0-89bc-8bb278b19a5e
- /data/data/####/ebn.xml
- /data/data/####/fileWork
- /data/data/####/ifly_launch_lib.xml
- /data/data/####/iflytek_state_com.wqff.wqf.xml
- /data/data/####/install-recovery.sh
- /data/data/####/jg_so_upgrade_setting.xml
- /data/data/####/libjiagu.so
- /data/data/####/libpcdn_acc.zip
- /data/data/####/libpcdn_acc_new.so
- /data/data/####/mobclick_agent_online_setting_com.wqff.wqf.xml
- /data/data/####/pcdnconfigs.xml
- /data/data/####/pidof
- /data/data/####/root3
- /data/data/####/shareadsdk.xml
- /data/data/####/statistics-journal
- /data/data/####/su
- /data/data/####/supolicy
- /data/data/####/toolbox
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/umeng_message_state.xml
- /data/data/####/webview.db-journal
- /data/data/####/wqf.xml
- /data/data/####/wsroot.sh
- /data/media/####/-1053729485.tmp
- /data/media/####/-1189081812.tmp
- /data/media/####/-17316826.tmp
- /data/media/####/-1779241059.tmp
- /data/media/####/-2127358824.tmp
- /data/media/####/-391280509.tmp
- /data/media/####/-603199319.tmp
- /data/media/####/-651687993.tmp
- /data/media/####/.2F6E2C5B63F0F83B
- /data/media/####/.nomedia
- /data/media/####/1004723140.tmp
- /data/media/####/1322768328.tmp
- /data/media/####/1370415479.tmp
- /data/media/####/1693041121.tmp
- /data/media/####/1718609436.tmp
- /data/media/####/1868420164.tmp
- /data/media/####/1869265131.tmp
- /data/media/####/1917321240.tmp
- /data/media/####/2054484280.tmp
- /data/media/####/261254872.tmp
- /data/media/####/314977764.tmp
- /data/media/####/447388315.tmp
- /data/media/####/510948618.tmp
- /data/media/####/511872139.tmp
- /data/media/####/55EF491E14F30D50D226594BF5C9CF0C
- /data/media/####/6301AD59F1C7190B624C4547D67706DD
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/diandu_563.txt
- /data/media/####/diandu_563_simple.txt
- /data/media/####/e82134ad92409
- /data/media/####/iflyworkdir_test
- /data/media/####/im316.tmp
- /data/media/####/myself.dat
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- chmod 777 Matrix ddexe debuggerd device.db fileWork install-recovery.sh pidof root3 su supolicy toolbox wsroot.sh
- chmod 777 Matrix ddexe debuggerd fileWork install-recovery.sh pidof su supolicy toolbox wsroot.sh
- sh
Загружает динамические библиотеки:
- libjiagu
- libpcdn_acc
- msc
- pcdn_acc
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- DES
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- DES
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
