Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.2083
- Android.DownLoader.546.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) l.wando####.com:80
- TCP(HTTP/1.1) huic####.sm.cn:80
- TCP(HTTP/1.1) wdj-qn####.wd####.com:80
- TCP(HTTP/1.1) oc.u####.com:80
- TCP(HTTP/1.1) a####.vip.wando####.com:80
- TCP(HTTP/1.1) img.wd####.com.####.com:80
Запросы DNS:
- a####.u####.com
- a####.wando####.com
- huic####.sm.cn
- img.wd####.com
- l.wando####.com
- oc.u####.com
- wdj-qn####.wd####.com
Запросы HTTP GET:
- a####.vip.wando####.com/api/v1/ads?page=####&area=####&pos=####&path=###...
- a####.vip.wando####.com/redirect?signature=####&url=####&dlType=####&ast...
- huic####.sm.cn/wdj/show?ast=####&flavor=####
- img.wd####.com.####.com/mms/icon/v1/3/0f/4844208ae00084b07544c56e287f70f...
- img.wd####.com.####.com/mms/icon/v1/3/2d/8192fbdb770fe8c8d89f7e8f843252d...
- img.wd####.com.####.com/mms/icon/v1/5/09/0c546bb10645edbf87107674d759809...
- img.wd####.com.####.com/mms/icon/v1/7/24/826a9c15abf89f504b63610a5786424...
- img.wd####.com.####.com/mms/icon/v1/7/ac/d8bbf2c36dbf996e013e7aa4f89a4ac...
- img.wd####.com.####.com/mms/icon/v1/7/e9/ee422cd218912216afe064dde8b53e9...
- img.wd####.com.####.com/mms/icon/v1/8/f0/c86896f6ec3912cc8d95a62a17916f0...
- img.wd####.com.####.com/mms/icon/v1/9/20/166f3e9541e02db02dfecfe3e258720...
- img.wd####.com.####.com/mms/icon/v1/9/93/e664d185cb3970ecbc081ac92e07993...
- img.wd####.com.####.com/mms/icon/v1/a/1d/e28f4c3a41e9dfd6e04e0a680c8831d...
- img.wd####.com.####.com/mms/icon/v1/a/a5/6a5f5bb8e98dd246c7806b4f01f76a5...
- img.wd####.com.####.com/mms/icon/v1/b/33/f100d3b7d07e1b97d27ac38bf81af33...
- img.wd####.com.####.com/mms/icon/v1/b/9d/1872932a1633125ca8a95f6ba6af59d...
- img.wd####.com.####.com/mms/icon/v1/d/f0/82286d9e2be4b7f8096de721245aef0...
- img.wd####.com.####.com/mms/icon/v1/e/8f/4e5a30e9d461279357de622135fa48f...
- wdj-qn####.wd####.com/6/bd/3f3bc0f4b36bd9980b02dd6995989bd6.apk
Запросы HTTP POST:
- a####.u####.com/app_logs
- l.wando####.com/muce/data/sink?profile=####&vc=####&vn=####&gzip=####&en...
- oc.u####.com/check_config_update
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/.log.lock
- /data/data/####/.log.ls
- /data/data/####/0956a25415a0f93991ed79c9ebf9d210.0.tmp
- /data/data/####/0956a25415a0f93991ed79c9ebf9d210.1.tmp
- /data/data/####/18387475e19c3c67023491bf3e0473b0.0.tmp
- /data/data/####/18387475e19c3c67023491bf3e0473b0.1.tmp
- /data/data/####/1eec9065395dc75fceea7bc31951b404.0.tmp
- /data/data/####/1eec9065395dc75fceea7bc31951b404.1.tmp
- /data/data/####/262ff0b9d861534f26ab11bef0508d41.0.tmp
- /data/data/####/262ff0b9d861534f26ab11bef0508d41.1.tmp
- /data/data/####/2ef459b22f5780391b33cee69e5002a8.0.tmp
- /data/data/####/2ef459b22f5780391b33cee69e5002a8.1.tmp
- /data/data/####/40b322e357ba53ce5ff22233e4d0c731.0.tmp
- /data/data/####/40b322e357ba53ce5ff22233e4d0c731.1.tmp
- /data/data/####/49706ccf93adb0a47039486fe2ff88f9.0.tmp
- /data/data/####/49706ccf93adb0a47039486fe2ff88f9.1.tmp
- /data/data/####/4e08512e4d909fa109584de835002d7b.0.tmp
- /data/data/####/4e08512e4d909fa109584de835002d7b.1.tmp
- /data/data/####/4eed2131e70265fffab42fe5c5caa71f.0.tmp
- /data/data/####/4eed2131e70265fffab42fe5c5caa71f.1.tmp
- /data/data/####/5a70a7884d426bd7bf3b441ca9518191.0.tmp
- /data/data/####/5a70a7884d426bd7bf3b441ca9518191.1.tmp
- /data/data/####/5dae0b8498490c49f10541b363e735ba.0.tmp
- /data/data/####/5dae0b8498490c49f10541b363e735ba.1.tmp
- /data/data/####/60cd9229e4f0dbd22ab9b61f162fefa9.0.tmp
- /data/data/####/60cd9229e4f0dbd22ab9b61f162fefa9.1.tmp
- /data/data/####/67781c20a96e72090d9d48ed5dc4bb6f.0.tmp
- /data/data/####/67781c20a96e72090d9d48ed5dc4bb6f.1.tmp
- /data/data/####/6986fd343ad99038d48006cf91d6351c.0.tmp
- /data/data/####/6986fd343ad99038d48006cf91d6351c.1.tmp
- /data/data/####/736011d267f51f83802f48e57d6f6827.0.tmp
- /data/data/####/736011d267f51f83802f48e57d6f6827.1.tmp
- /data/data/####/74d149d6f364c5f7cef58f2fa774bfda.0.tmp
- /data/data/####/74d149d6f364c5f7cef58f2fa774bfda.1.tmp
- /data/data/####/88e2046a8d74aa21fe65289c17e52eac.0.tmp
- /data/data/####/88e2046a8d74aa21fe65289c17e52eac.1.tmp
- /data/data/####/8dd1f43e718f5bf8e036b526cb9a2562.0.tmp
- /data/data/####/8dd1f43e718f5bf8e036b526cb9a2562.1.tmp
- /data/data/####/9d84171efc2a8b2b0302f2ee65d1f46a.0.tmp
- /data/data/####/9d84171efc2a8b2b0302f2ee65d1f46a.1.tmp
- /data/data/####/b852d2b0830f3c48d676525957fd93cd.0.tmp
- /data/data/####/b852d2b0830f3c48d676525957fd93cd.1.tmp
- /data/data/####/battery_config.xml
- /data/data/####/bb3a113e0fb2695abb2bf78f78308bca.0.tmp
- /data/data/####/bb3a113e0fb2695abb2bf78f78308bca.1.tmp
- /data/data/####/bbd0177b63639b2f7223d866c6f9641f.0.tmp
- /data/data/####/bbd0177b63639b2f7223d866c6f9641f.1.tmp
- /data/data/####/bfdd5df91f57d92d26e99b12cc317f24.0.tmp
- /data/data/####/bfdd5df91f57d92d26e99b12cc317f24.1.tmp
- /data/data/####/c0b78594308c3f8624bcb5530163be11.0.tmp
- /data/data/####/c0b78594308c3f8624bcb5530163be11.1.tmp
- /data/data/####/c85ddbb3ee2ff884e9a59dca8d82b3b7.0.tmp
- /data/data/####/c85ddbb3ee2ff884e9a59dca8d82b3b7.1.tmp
- /data/data/####/com.ho.zhimahu.odex
- /data/data/####/com.ho.zhimahu.xml
- /data/data/####/com.ho.zhimahu.zip
- /data/data/####/com.ho.zhimahu_preferences.xml
- /data/data/####/com_ho_zhimahu_satellite_.log
- /data/data/####/d7d73ec93f891467d0785a1444e4b290.0.tmp
- /data/data/####/d7d73ec93f891467d0785a1444e4b290.1.tmp
- /data/data/####/db_public-journal
- /data/data/####/dc2895130690ab51d91d76934ef4b069.0.tmp
- /data/data/####/dc2895130690ab51d91d76934ef4b069.1.tmp
- /data/data/####/e8f920e8b5b741e9dc6231c18e6ecfc0.0.tmp
- /data/data/####/e8f920e8b5b741e9dc6231c18e6ecfc0.1.tmp
- /data/data/####/f541d8ef1961329750ad5ef4b1745666.0.tmp
- /data/data/####/f541d8ef1961329750ad5ef4b1745666.1.tmp
- /data/data/####/f680f845a64a23415526c3f131a7253c.0.tmp
- /data/data/####/f680f845a64a23415526c3f131a7253c.1.tmp
- /data/data/####/f6e0044ccddb675581b6a6c9ebce66c4.0.tmp
- /data/data/####/f6e0044ccddb675581b6a6c9ebce66c4.1.tmp
- /data/data/####/faeabd7e227f42f44e3f2a3ca59ee8b0.0.tmp
- /data/data/####/faeabd7e227f42f44e3f2a3ca59ee8b0.1.tmp
- /data/data/####/ffc1b5f13e24555a1b940487c3bbf26a.0.tmp
- /data/data/####/ffc1b5f13e24555a1b940487c3bbf26a.1.tmp
- /data/data/####/journal.tmp
- /data/data/####/libjiagu.so
- /data/data/####/log_module.xml
- /data/data/####/mobclick_agent_cached_com.ho.zhimahu
- /data/data/####/mobclick_agent_header_com.ho.zhimahu.xml
- /data/data/####/mobclick_agent_online_setting_com.ho.zhimahu.xml
- /data/data/####/mobclick_agent_state_com.ho.zhimahu.xml
- /data/data/####/satellit_app_config.xml
- /data/media/####/.udid
- /data/media/####/com.yiche.price-1251854316.apk
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- chmod 777 /data/local/tmp
Загружает динамические библиотеки:
- cipher
- libjiagu
- wdj_udid
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-ECB-PKCS5Padding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
