Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.2083
- Android.DownLoader.546.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) app.b####.com:80
- TCP(HTTP/1.1) j####.b####.com:80
- TCP(HTTP/1.1) a1.att.hu####.####.com:80
- TCP(HTTP/1.1) st####.hu####.cc####.####.cn:80
- TCP(HTTP/1.1) ehd.b####.com:80
- TCP(HTTP/1.1) m.b####.com:80
- TCP(HTTP/1.1) a4.att.hu####.####.cn:80
- TCP(HTTP/1.1) ll.hu####.com:80
- TCP(HTTP/1.1) a####.91.com:80
- TCP(HTTP/1.1) att.hu####.cc####.####.cn:80
- TCP(HTTP/1.1) v3-jiat####.b0.a####.com:80
- TCP(HTTP/1.1) www.google-####.com:80
- TCP(HTTP/1.1) www.b####.com:80
- TCP(HTTP/1.1) a3.att.hu####.####.cn:80
- TCP(HTTP/1.1) s####.b####.com:80
- TCP(HTTP/1.1) gua####.b####.com:80
- TCP(TLS/1.0) sett####.crashly####.com:443
- TCP(TLS/1.0) s####.g.doublec####.net:443
Запросы DNS:
- a####.91.com
- a0.att.hu####.com
- a1.att.hu####.com
- a2.att.hu####.com
- a3.att.hu####.com
- a4.att.hu####.com
- app.b####.com
- ehd.b####.com
- gua####.b####.com
- j####.att.hu####.com
- j####.b####.com
- ll.hu####.com
- m.b####.com
- s####.b####.com
- s####.g.doublec####.net
- s95.c####.com
- sett####.crashly####.com
- st####.hu####.com
- v3.jia####.com
- www.b####.com
- www.google-####.com
- www.h####.cn
Запросы HTTP GET:
- a1.att.hu####.####.com/05/31/01300000165488122405316380925_s.gif
- a1.att.hu####.####.com/55/74/01300000938914133238747108745_s.jpg
- a1.att.hu####.####.com/63/31/01300000165488122405312797808_s.jpg
- a1.att.hu####.####.com/73/87/01300000165541121054876746773_s.jpg
- a3.att.hu####.####.cn/05/74/26100000008941150208746345374.png
- a3.att.hu####.####.cn/06/12/26100000009181152488124671518.jpg
- a3.att.hu####.####.cn/07/02/26100000008941147911023794446.jpg
- a3.att.hu####.####.cn/07/07/26100000009181152583077780382.jpg
- a3.att.hu####.####.cn/11/83/26100000006761147761834882704.jpg
- a3.att.hu####.####.cn/12/89/26100000010662152601891643488.jpg
- a3.att.hu####.####.cn/13/90/26100000008941148852901018044.jpg
- a3.att.hu####.####.cn/16/66/26100000008941148757668476781.jpg
- a3.att.hu####.####.cn/20/12/26100000008941150659128025243.png
- a3.att.hu####.####.cn/23/27/26100000008941147945274593827.jpg
- a3.att.hu####.####.cn/23/96/26100000006761147210965532607.jpg
- a3.att.hu####.####.cn/27/51/26100000008941149965513037732.png
- a3.att.hu####.####.cn/27/66/26100000009181152591668327042.jpg
- a3.att.hu####.####.cn/27/68/26100000008941148757686690153.jpg
- a3.att.hu####.####.cn/28/93/26100000008941148852937324705.jpg
- a3.att.hu####.####.cn/31/36/26100000006761147641364562885.jpg
- a3.att.hu####.####.cn/31/68/26100000008941150208688677920.png
- a3.att.hu####.####.cn/35/14/26100000009181152488149792354.jpg
- a3.att.hu####.####.cn/36/28/26100000008941147945288683437.jpg
- a3.att.hu####.####.cn/40/54/26100000008941149370543043016.jpg
- a3.att.hu####.####.cn/42/60/26100000008941149697600186055.jpg
- a3.att.hu####.####.cn/43/01/26100000009181152471013503831.jpg
- a3.att.hu####.####.cn/45/48/26100000008941149965482233844.png
- a3.att.hu####.####.cn/45/90/26100000008941148222904901870.jpg
- a3.att.hu####.####.cn/46/06/26100000008941147911065177864.jpg
- a3.att.hu####.####.cn/47/69/26100000008941148418697695962.jpg
- a3.att.hu####.####.cn/48/56/26100000008941149370569598616.jpg
- a3.att.hu####.####.cn/48/71/26100000008941148515715910481.jpg
- a3.att.hu####.####.cn/50/40/26100000009181152574406112746.jpg
- a3.att.hu####.####.cn/50/69/26100000008941148515691869101.jpg
- a3.att.hu####.####.cn/52/96/26100000008941148222965930720.jpg
- a3.att.hu####.####.cn/55/12/26100000006141139538128888041.gif
- a3.att.hu####.####.cn/55/65/26100000008941149457654151568.jpg
- a3.att.hu####.####.cn/56/99/26100000009181152470997407864.jpg
- a3.att.hu####.####.cn/57/58/26100000008941149370588940275.jpg
- a3.att.hu####.####.cn/58/38/26100000006761147641386164570.jpg
- a3.att.hu####.####.cn/63/59/26100000010662151321598944188.jpg
- a3.att.hu####.####.cn/66/46/26100000009181152610461390432.jpg
- a3.att.hu####.####.cn/68/26/26100000008941147989266501236.jpg
- a3.att.hu####.####.cn/70/80/26100000008941149155803727275.jpg
- a3.att.hu####.####.cn/72/81/26100000008941148392819719084.jpg
- a3.att.hu####.####.cn/73/77/26100000008941149155777262568.jpg
- a3.att.hu####.####.cn/73/82/26100000008941148392828342730.jpg
- a3.att.hu####.####.cn/74/42/26100000009181152600422315281.jpg
- a3.att.hu####.####.cn/74/99/26100000004661139264991514888.jpg
- a3.att.hu####.####.cn/76/05/26100000008941147911053680557.jpg
- a3.att.hu####.####.cn/77/41/26100000008941147910416999464.jpg
- a3.att.hu####.####.cn/80/48/26100000008941149370488174634.jpg
- a3.att.hu####.####.cn/81/66/26100000006761147623663411741.jpg
- a3.att.hu####.####.cn/84/55/26100000004661143229556683883.jpg
- a3.att.hu####.####.cn/85/11/26100000008941150659116618930.png
- a3.att.hu####.####.cn/86/18/26100000006761147764188327273.jpg
- a3.att.hu####.####.cn/87/67/26100000008941148997672358930.jpg
- a4.att.hu####.####.cn/04/31/01100000000000144736311810456_s.jpg
- a4.att.hu####.####.cn/06/87/01300000165541121054878700873_s.jpg
- a4.att.hu####.####.cn/11/30/01300000165488122405309866071_s.gif
- a4.att.hu####.####.cn/43/00/20300542496869139834001364577_s.jpg
- a4.att.hu####.####.cn/70/30/20200000013920144736302013856_s.jpg
- a4.att.hu####.####.cn/76/30/01300000165541121358302261256_s.jpg
- a4.att.hu####.####.cn/86/31/01300000165488122405318227108_s.jpg
- app.b####.com/hdbk_splash_screen.json
- att.hu####.cc####.####.cn/03/31/01300000165488122405313772902_s.jpg
- att.hu####.cc####.####.cn/05/88/31300543942982149783886296014_140.jpg
- att.hu####.cc####.####.cn/23/02/31300543942982149784029866772_140.jpg
- att.hu####.cc####.####.cn/30/70/31300543422791146319705553510_140.jpg
- att.hu####.cc####.####.cn/47/40/31300543422791149784401085851_140.jpg
- att.hu####.cc####.####.cn/63/46/31300543422791149784464857246_140.png
- att.hu####.cc####.####.cn/app/guancha/jquery-2.0.3.min.js
- att.hu####.cc####.####.cn/e/hd.e.wap.20180119.js
- att.hu####.cc####.####.cn/public/js/module/Hrequire-1.0.1.js
- att.hu####.cc####.####.cn/stat/js/XBKClickMonitor.js
- att.hu####.cc####.####.cn/stat/js/hd_product_monitor.js?f=####
- att.hu####.cc####.####.cn/upload/images/article/50/b9/5e7ea39edc93dbf5b2...
- att.hu####.cc####.####.cn/upload/images/article/54/7a/8b171315989fb31aa3...
- att.hu####.cc####.####.cn/upload/images/article/74/6c/cf7f3bea9590122ec3...
- att.hu####.cc####.####.cn/upload/images/article/aa/9a/a0fe71c6d71b848256...
- att.hu####.cc####.####.cn/upload/images/article/b0/bf/c0ef093ad8c2bbd4b9...
- att.hu####.cc####.####.cn/upload/images/article/dd/5c/5c338ffe4f2e4b12f6...
- att.hu####.cc####.####.cn/wap/css/index_xuan160115.css
- att.hu####.cc####.####.cn/wap/css/index_xuan170703.css
- att.hu####.cc####.####.cn/wap/css/word-show-cwiki.css
- att.hu####.cc####.####.cn/wap/images/share.png
- att.hu####.cc####.####.cn/wap/images/sprites_160115.png
- att.hu####.cc####.####.cn/wap/images/sprites_170512.png
- att.hu####.cc####.####.cn/wap/images/title_icon_bg160115.png
- att.hu####.cc####.####.cn/wap/images/word-show20160322.png
- att.hu####.cc####.####.cn/wap/js/autoSaveNote-20171225.js
- att.hu####.cc####.####.cn/wap/js/interface-20151109.js
- att.hu####.cc####.####.cn/wap/js/iscroll.js
- att.hu####.cc####.####.cn/wap/js/jquery.scroll.js
- att.hu####.cc####.####.cn/wap/js/plus/plus-details-20150825.js
- att.hu####.cc####.####.cn/wap/js/soundManage-20160908.js
- att.hu####.cc####.####.cn/wap/js/viewdocnewwap20160608.js
- att.hu####.cc####.####.cn/wap/js/wap_comment20160218.js
- ehd.b####.com/newloadehds?biztype=####&locations=####&bizid=####&callbac...
- gua####.b####.com/getBKSurveyNewsShow.do?callback=####&objectid=####&pag...
- j####.b####.com/pa/detail?id=9321&type=1?prd=####
- j####.b####.com/static/js/jiemi.site.js
- ll.hu####.com/api/flux?site=####&click=####&data=####&from=####&prd=####
- ll.hu####.com/api/flux?site=####&data=####&from=####&prd=####
- ll.hu####.com/api/flux?site=5a557012e6563e3cde625341&data={"mi":1,"os":"...
- ll.hu####.com/flux.js?59805f1####
- ll.hu####.com/flux.js?5a55701####
- m.b####.com/mobile/baike_app_index.jsp
- s####.b####.com/hdWebXBKStat.do?random=####&hd_accessrefer=####&hd_acces...
- s####.b####.com/hdWebXBKStat.do?random=0.17828842485323548&hd_accessrefe...
- s####.b####.com/js/webstat_manage.js
- s####.b####.com/js/webstat_manage_hdga.js
- st####.hu####.cc####.####.cn/17/17/26100000009261152540175597412.jpg
- st####.hu####.cc####.####.cn/42/31/01300000165488122405314938330_s.jpg
- v3-jiat####.b0.a####.com/code/jiathis_m.js
- www.b####.com/cwiki/微小病变性肾小球肾炎&from=inapp&prd=app_hudongbaike
- www.b####.com/cwiki/肾小盏&from=inapp&prd=app_hudongbaike
- www.b####.com/cwiki/膀胱&from=inapp
- www.google-####.com/analytics.js
- www.google-####.com/collect?v=####&_v=####&a=####&t=####&_s=####&dl=####...
- www.google-####.com/collect?v=1&_v=j67&a=416638171&t=pageview&_s=1&dl=ht...
Запросы HTTP POST:
- a####.91.com/AppU/Api?ActionID=####&Ver=####
- www.b####.com/wikdoc/sp/docViewAjaxForWap.do
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/-1552104655-2135903964
- /data/data/####/.jg.ic
- /data/data/####/.log.lock
- /data/data/####/.log.ls
- /data/data/####/5AFCAFA70172-0001-0806-90DA9F5A4D8ABeginSession.cls_temp
- /data/data/####/5AFCAFA70172-0001-0806-90DA9F5A4D8ASessionApp.cls_temp
- /data/data/####/5AFCAFA70172-0001-0806-90DA9F5A4D8ASessionDevice.cls_temp
- /data/data/####/5AFCAFA70172-0001-0806-90DA9F5A4D8ASessionOS.cls_temp
- /data/data/####/5AFCAFA80112-0001-082F-90DA9F5A4D8ABeginSession.cls_temp
- /data/data/####/5AFCAFA80112-0001-082F-90DA9F5A4D8ASessionApp.cls_temp
- /data/data/####/5AFCAFA80112-0001-082F-90DA9F5A4D8ASessionDevice.cls_temp
- /data/data/####/5AFCAFA80112-0001-082F-90DA9F5A4D8ASessionOS.cls_temp
- /data/data/####/JPushSA_Config.xml
- /data/data/####/TwitterAdvertisingInfoPreferences.xml
- /data/data/####/bdp_pref.xml
- /data/data/####/c7c28e210cbf95cec9606544a4b05b08d53690b7c54c7b1....0.tmp
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/cn.jpush.android.user.profile.xml
- /data/data/####/cn.jpush.preferences.v2.xml
- /data/data/####/com.crashlytics.prefs.xml
- /data/data/####/com.crashlytics.sdk.android;answers;settings.xml
- /data/data/####/com.crashlytics.settings.json
- /data/data/####/com.hudong.in.baike3g.odex
- /data/data/####/com.hudong.in.baike3g.zip
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/f_000004
- /data/data/####/f_000005
- /data/data/####/f_000006
- /data/data/####/f_000007
- /data/data/####/f_000008
- /data/data/####/f_000009
- /data/data/####/f_00000a
- /data/data/####/f_00000b
- /data/data/####/f_00000c
- /data/data/####/f_00000d
- /data/data/####/f_00000e
- /data/data/####/f_00000f
- /data/data/####/f_000010
- /data/data/####/f_000011
- /data/data/####/f_000012
- /data/data/####/f_000013
- /data/data/####/f_000014
- /data/data/####/f_000015
- /data/data/####/f_000016
- /data/data/####/f_000017
- /data/data/####/f_000018
- /data/data/####/f_000019
- /data/data/####/f_00001a
- /data/data/####/hdwiki.db-journal
- /data/data/####/index
- /data/data/####/initialization_marker
- /data/data/####/io.fabric.sdk.android;fabric;io.fabric.sdk.android.l.xml
- /data/data/####/journal.tmp
- /data/data/####/jpush_stat_cache.json
- /data/data/####/libjiagu.so
- /data/data/####/mobclick_agent_cached_com.hudong.in.baike3g13
- /data/data/####/sa_abf41a60-d119-4cf4-a088-c7ab3d4f60d9_1526509479815.tap
- /data/data/####/session_analytics.tap
- /data/data/####/session_analytics.tap (deleted)
- /data/data/####/session_analytics.tap.tmp
- /data/data/####/umeng_general_config.xml
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/.cuid
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
Загружает динамические библиотеки:
- jpush218
- libjiagu
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- DESede-CBC-PKCS7Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-ECB-PKCS5Padding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
