Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Adware.Dowgin.14.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) hi.bi.hb####.cn:80
- TCP(HTTP/1.1) t.y####.net:80
- TCP(HTTP/1.1) aos.w####.y####.net:80
- TCP(HTTP/1.1) s####.gw.y####.net:80
- TCP(HTTP/1.1) au.y####.net:80
- TCP(HTTP/1.1) a.appj####.com:80
- TCP(HTTP/1.1) ip.ta####.com:80
Запросы DNS:
- a####.u####.com
- a.appj####.com
- aos.w####.y####.net
- au.y####.net
- hi.bi.hb####.cn
- ip.ta####.com
- oc.gw.y####.net
- s####.gw.y####.net
- t.y####.net
Запросы HTTP GET:
- aos.w####.y####.net/stat/v2/error?pid=3&pd=3&ver=406&k=api_lists&e=32_Lo...
- aos.w####.y####.net/v3/conf?app=####
- aos.w####.y####.net/v3/get?s=####
- aos.w####.y####.net/v3/req?s=####
- au.y####.net/offer/aos/lists.html?type=####&model=####
- au.y####.net/offer/aos/offers.manifest
- au.y####.net/offer/aos/slient.html?type=####&model=####
- au.y####.net/offer/dist/aos/global/2.0.1/global.js
- au.y####.net/offer/dist/aos/img/blank.gif
- au.y####.net/offer/dist/aos/img/sprite-face.png
- au.y####.net/offer/dist/aos/img/sprite-icons.png
- au.y####.net/offer/dist/aos/lists/2.0.1/detail.js
- au.y####.net/offer/dist/aos/lists/2.0.1/lists.css
- au.y####.net/offer/dist/aos/lists/2.0.1/lists.js
- au.y####.net/offer/dist/aos/slient/2.0.1/slient.js
- ip.ta####.com/service/getIpInfo.php?ip=####
- s####.gw.y####.net/v3/init?s=####
- t.y####.net/v1/active?appid=####&cid=####&dv=####&ts=####&ft=####&pt=###...
Запросы HTTP POST:
- a####.u####.com/app_logs
- a.appj####.com/ad-service/ad/mark
- hi.bi.hb####.cn/U/gd3
- hi.bi.hb####.cn/c/g/hef
- hi.bi.hb####.cn/qh/x6f
- hi.bi.hb####.cn/you/i/N/l30
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/.log.lock
- /data/data/####/.log.ls
- /data/data/####/35275.xml
- /data/data/####/9898051z.jar
- /data/data/####/ApplicationCache.db-journal
- /data/data/####/ApplicationCache.db-journal (deleted)
- /data/data/####/CE94557724F842149D690D0E8CBB1CBD.xml
- /data/data/####/OFFERSCONFIG1.xml
- /data/data/####/P15pKIjsm64m
- /data/data/####/P15pKIjsm64m-journal
- /data/data/####/T1oX0rhhuXWt
- /data/data/####/T1oX0rhhuXWt-journal
- /data/data/####/XKwVoK0huy3R
- /data/data/####/XKwVoK0huy3R-journal
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/index
- /data/data/####/jg_app_update_settings_random.xml
- /data/data/####/jqIqJYOT3JpT
- /data/data/####/jqIqJYOT3JpT-journal
- /data/data/####/libjiagu.so
- /data/data/####/mobclick_agent_header_com.cn.android.gavin.warofglory.xml
- /data/data/####/mobclick_agent_state_com.cn.android.gavin.warofglory.xml
- /data/data/####/wIU6pTyUBYWX
- /data/data/####/wIU6pTyUBYWX-journal
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/wsUL1uCdKvjD
- /data/data/####/wsUL1uCdKvjD-journal
- /data/data/####/zendroid_td.sqlite3
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
Загружает динамические библиотеки:
- libjiagu
Использует следующие алгоритмы для шифрования данных:
- DES
- PBEWITHMD5andDES
Использует следующие алгоритмы для расшифровки данных:
- DES
- PBEWITHMD5andDES
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
