Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Xiny.84.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) ser####.guaguaz####.cn:80
- TCP(HTTP/1.1) s####.j####.cn:80
- TCP(HTTP/1.1) nav.cn.ron####.com:80
- TCP(HTTP/1.1) a####.exc.mob.com:80
- TCP(HTTP/1.1) oc.u####.com:80
- TCP(HTTP/1.1) api.s####.mob.com:80
- TCP(HTTP/1.1) i####.sogo####.com.####.com:80
- TCP(TLS/1.0) www.v####.com:443
- TCP(TLS/1.0) s####.cn.ron####.com:443
- TCP 1####.229.215.26:7001
- TCP 1####.92.22.206:8618
- UDP s.j####.cn:19000
Запросы DNS:
- a####.exc.mob.com
- a####.u####.com
- api.s####.mob.com
- i####.sogo####.com
- nav.cn.ron####.com
- oc.u####.com
- s####.cn.ron####.com
- s####.j####.cn
- s.j####.cn
- ser####.guaguaz####.cn
- www.v####.com
Запросы HTTP GET:
- i####.sogo####.com.####.com/net/a/04/link?appid=####&url=####
Запросы HTTP POST:
- a####.exc.mob.com/errconf
- a####.u####.com/app_logs
- api.s####.mob.com/conf5
- api.s####.mob.com/conn
- api.s####.mob.com/data2
- api.s####.mob.com/log4
- api.s####.mob.com/snsconf
- nav.cn.ron####.com/navipush.json
- oc.u####.com/v2/check_config_update
- oc.u####.com/v2/get_update_time
- s####.j####.cn/v2/report
- ser####.guaguaz####.cn/app-http/api
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/.lock
- /data/data/####/.log.lock
- /data/data/####/.log.ls
- /data/data/####/COUNTLY_STORE.xml
- /data/data/####/RongPush.xml
- /data/data/####/SharedPreferences_ruit.xml
- /data/data/####/Statistics.xml
- /data/data/####/ThrowalbeLog.db-journal
- /data/data/####/cc.ruit.guaguazhuan_preferences.xml
- /data/data/####/cn.jpush.android.user.profile.xml
- /data/data/####/cn.jpush.preferences.v2.xml
- /data/data/####/ggz.db-journal
- /data/data/####/jpush_device_info.xml
- /data/data/####/jpush_local_notification.db
- /data/data/####/jpush_local_notification.db-journal
- /data/data/####/jpush_stat_cache_history.json
- /data/data/####/jpush_statistics.db
- /data/data/####/jpush_statistics.db-journal
- /data/data/####/libjiagu.so
- /data/data/####/mob_sdk_exception_1.xml
- /data/data/####/mobclick_agent_online_setting_cc.ruit.guaguazhuan.xml
- /data/data/####/share_sdk_1.xml
- /data/data/####/share_sdk_1.xml (deleted)
- /data/data/####/share_sdk_1.xml.bak (deleted)
- /data/data/####/sharesdk.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/v5kf_client.xml
- /data/data/####/v5kf_emoticons.db
- /data/data/####/v5kf_emoticons.db-journal
- /data/media/####/.ba
- /data/media/####/.dk
- /data/media/####/.lock
- /data/media/####/.push_deviceid
- /data/media/####/067503e0abc30a6ee207271999e00842.0
- /data/media/####/1dbf0ab8baddd387505f626901e4d1e1.0
- /data/media/####/20db542b1fde216bdb9614b796c22e9d.0
- /data/media/####/23c94b4e935722867fa6da11e50442f3.0
- /data/media/####/32f244f7d493551d51682938c57538d6.0
- /data/media/####/40558dd76bdffa22f579687b24d271f5.0
- /data/media/####/4f082fa9265ea978a63b66b011323e2b.0
- /data/media/####/5303655013e5365dd961355a01a8dfb7.0
- /data/media/####/58359e60974853632cf7f00d726b269b.0
- /data/media/####/5aa6b1e761ef40b7b211483325791148.0
- /data/media/####/68935a59bec3eb14c69843e5ed666290.0
- /data/media/####/7f24a064d4d50c20278b9ae3860b7691.0
- /data/media/####/881c8d819a42c12202acc325d8ac9cf4.0
- /data/media/####/8f3c6926ce2bc948b5c13612a1e65a37.0
- /data/media/####/92d4ec382c0993d2eb854a266f6cd834.0
- /data/media/####/a2fee58755d6ef24bcc2e2d51f0620f5.0
- /data/media/####/bf4c27f7a0fb98c3279368eb2b6c75b1.0
- /data/media/####/cbf68d7decde98d2a8320866d4fe0bf9.0
- /data/media/####/cde231f538effe71048a5ed7f85d11cb.0
- /data/media/####/f8a766d1a5a45bd333ae724f20783c0b.0
- /data/media/####/fb4edafc87074d70e1da65bc1a959f88.0
- /data/media/####/journal.tmp
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
Загружает динамические библиотеки:
- RongIMLib
- jpush215
- libjiagu
- neh
Использует следующие алгоритмы для шифрования данных:
- AES-ECB-PKCS7Padding
- DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-ECB-NoPadding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации о настроках APN.
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
