Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.2083
- Android.DownLoader.546.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.exc.mob.com:80
- TCP(HTTP/1.1) api.plat####.le####.com:80
- TCP(HTTP/1.1) api.d####.com:80
- TCP(HTTP/1.1) for####.sf.c####.com:80
- TCP(HTTP/1.1) p####.d####.com:80
- TCP(HTTP/1.1) b####.api.d####.com:80
- TCP(HTTP/1.1) api.s####.mob.com:80
- TCP(HTTP/1.1) s.we####.l####.com:80
- TCP(HTTP/1.1) tu.d####.com:80
- TCP(TLS/1.0) redi####.network####.com:443
- TCP(TLS/1.0) dc1.network####.com:443
Запросы DNS:
- a####.exc.mob.com
- api.d####.com
- api.plat####.l####.com
- api.s####.mob.com
- b####.api.d####.com
- dc1.network####.com
- p####.d####.com
- redi####.network####.com
- s.we####.l####.com
- tu.d####.com
- y####.l####.com
Запросы HTTP GET:
- api.plat####.le####.com/upgrade?appkey=####&package_name=####&appversion...
- for####.sf.c####.com/mobile/config/vc2.0.txt?pkg=####&os=####&appver=####
- for####.sf.c####.com/mobile/js/LecloudMobileSdk1040.zip
- p####.d####.com/appBack/getParamList?appType=####&platform=####
- p####.d####.com/appBack/getWelcomeBanner?appType=####&skuId=####
- s.we####.l####.com/upgrade?locVer=####&serVer=####&mac=####&model=####&v...
- tu.d####.com//ueditor/upload/image/20180511/1526025145985096708_sl.jpg
- tu.d####.com//ueditor/upload/image/20180511/1526025510416012314_sl.jpg
- tu.d####.com//ueditor/upload/image/20180516/1526452136224058673_sl.png
- tu.d####.com/headpic/2017/12/25/1440045null.png
- tu.d####.com/headpic/20170315/2017031514451478990new-min.jpg
- tu.d####.com/headpic/20170315/2017031514451478990new.jpg
- tu.d####.com/headpic/app/head_58.png
- tu.d####.com/headpic/default/head_68.png
- tu.d####.com/headpic/default/head_7.png
- tu.d####.com/headpic/default/head_8.png
Запросы HTTP POST:
- a####.exc.mob.com/errconf
- a####.exc.mob.com/errlog
- api.d####.com/appMsg/getMsgBySkuIdAndAppType
- api.d####.com/appMsg/getMsgsBySkuIdAndAppType
- api.d####.com/duiaApp/getAppMainPageForSku
- api.d####.com/duiaApp/getLiveListBySku
- api.d####.com/duiaApp/getRecentlyLiveListBySku
- api.d####.com/duiaApp/getSbjByVirtualSkuId
- api.d####.com/duiaApp/getVideoListByTypeNew
- api.s####.mob.com/conf5
- api.s####.mob.com/conn
- api.s####.mob.com/data2
- api.s####.mob.com/snsconf
- b####.api.d####.com/duibaApp/getAnswerTopicList
- b####.api.d####.com/duibaApp/getEliteTopicList
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/-1412808770
- /data/data/####/-1905140106
- /data/data/####/-613483732
- /data/data/####/.jg.ic
- /data/data/####/.lock
- /data/data/####/.log.lock
- /data/data/####/.log.ls
- /data/data/####/.statistics
- /data/data/####/1693541632
- /data/data/####/1782586686
- /data/data/####/1stIBllHKHIF4rofy31K2Ny_dgE.-115986459.tmp
- /data/data/####/2VeLap1XE8TybzIE5tjU9gzVdEA.710670315.tmp
- /data/data/####/2mD9CrKdzg89g59VuZQ3wbETwJs.-1293059444.tmp
- /data/data/####/3343801
- /data/data/####/3CEw7ZBohkYM7ssMmibH5ttmpLA.900302556.tmp
- /data/data/####/8Pn1a7z9D4Y6m1UGU2nd1mnMxzI.-1848474201.tmp
- /data/data/####/96597651
- /data/data/####/Pp-55WQAqFNnoWzwNBlRNCimQRE.325980231.tmp
- /data/data/####/ThrowalbeLog.db-journal
- /data/data/####/Tiku.db.xml
- /data/data/####/User_info.db-journal
- /data/data/####/WelcomeBanner.db-journal
- /data/data/####/XNSDKStore1.0.xml
- /data/data/####/XNclientid.xml
- /data/data/####/XNmachineid.xml
- /data/data/####/YdGsgNrAWhfTSpXMhh5kOdXPW6k.666894364.tmp
- /data/data/####/ZQ-f_xy74DeJ6QkRiizgghwb99A.-757516875.tmp
- /data/data/####/ark_offline_db.db
- /data/data/####/ark_offline_db.db-journal
- /data/data/####/cde_config.xml
- /data/data/####/cn.jpush.android.user.profile.xml
- /data/data/####/cn.jpush.preferences.v2.xml
- /data/data/####/com.networkbench.agent.impl.v2_com.onesoft.vkap...SX.xml
- /data/data/####/com.onesoft.vkapp.Tiiku.Duia.GWYSSX.odex
- /data/data/####/com.onesoft.vkapp.Tiiku.Duia.GWYSSX.zip
- /data/data/####/com.onesoft.vkapp.Tiiku.Duia.GWYSSX_preferences.xml
- /data/data/####/config.xml
- /data/data/####/config.xml (deleted)
- /data/data/####/cwzeax07BnOqw8KEm96QEWNw5UE.-22727180.tmp
- /data/data/####/job.db-journal
- /data/data/####/js.zip
- /data/data/####/kf_9751_ISME9754_guest1800974275889198
- /data/data/####/kf_9751_ISME9754_guest1800974275889198-journal
- /data/data/####/kjb_lib.db-journal
- /data/data/####/le_config.xml
- /data/data/####/lecloudMobileSdk.html
- /data/data/####/lecloudMobileSdk.zip
- /data/data/####/libjiagu.so
- /data/data/####/mac.xml
- /data/data/####/mob_sdk_exception_1.xml
- /data/data/####/multidex.version.xml
- /data/data/####/olqbank-setting.xml
- /data/data/####/olqbank_user.db-journal
- /data/data/####/online-configcom.onesoft.vkapp.Tiiku.Duia.GWYSS...leted)
- /data/data/####/online-configcom.onesoft.vkapp.Tiiku.Duia.GWYSSX.xml
- /data/data/####/person.xml
- /data/data/####/qihoo_jiagu_crash_report.xml
- /data/data/####/share_sdk_1.xml
- /data/data/####/sharesdk.db-journal
- /data/data/####/shejujun_download_xutils.db-journal
- /data/data/####/shell-1.apk
- /data/data/####/sjNuEJQj1jV5cQplish-lNKBfD4.1955315248.tmp
- /data/data/####/sp.gensee.xml
- /data/data/####/ssx.db-journal
- /data/data/####/tiku_563_01.db
- /data/data/####/tiku_563_01.db-journal
- /data/data/####/tiku_664_01.db
- /data/data/####/tiku_664_01.db-journal
- /data/data/####/tongji_mac.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/version.txt
- /data/data/####/videodata-journal
- /data/data/####/welcomeBannerShareName.xml
- /data/data/####/xUtils.db-journal
- /data/data/####/xnsdkconfig.xml
- /data/data/####/zhibo.db-journal
- /data/data/####/zhibo_list_config.xml
- /data/media/####/.ba
- /data/media/####/.dk
- /data/media/####/.nomedia
- /data/media/####/app-20180516125747416.log
- /data/media/####/cde.txt
- /data/media/####/journal
- /data/media/####/journal.tmp
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
Загружает динамические библиотеки:
- AVCDecoder
- LetvAdSDK
- SoundTouch
- bitmaps
- gensee-log
- gsolcomp-jni
- imagepipeline
- jpush206
- libLetvAdSDK
- libcde-native
- libjiagu
- memchunk
- neh
- speex
- stlport_shared
- ucamf
- ucbase
- ucdflvreader
- ucflv
- ucnet
- ucoffplayer
- ucrtmpcli
- ucrtp
- uctinyxml
- ucts
- unidecoder
Использует следующие алгоритмы для шифрования данных:
- AES-ECB-PKCS7Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-ECB-NoPadding
- AES-ECB-PKCS5Padding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации о настроках APN.
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
