Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Xiny.20
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) www.theclea####.com:80
- TCP(HTTP/1.1) img.cool####.cn.####.com:80
- TCP(HTTP/1.1) api.k####.me:80
- TCP(HTTP/1.1) yes.yuchan####.com.cn:80
- TCP(HTTP/1.1) gdv.a.s####.com:80
- TCP(TLS/1.0) www.googlet####.com:443
- TCP(TLS/1.0) api.critter####.com:443
Запросы DNS:
- api.critter####.com
- api.k####.me
- img.cool####.cn
- pv.s####.com
- r.eli####.cn
- ssl.google-####.com
- www.googlet####.com
- www.theclea####.com
- yes.yuchan####.com.cn
Запросы HTTP GET:
- gdv.a.s####.com/cityjson?ie=####
- img.cool####.cn.####.com/2011/gou.jar
- www.theclea####.com/images/preview/cyber_mdpi.jpg
- www.theclea####.com/images/preview/winter_mdpi.jpg
- yes.yuchan####.com.cn/k2?protocol=####&version=####&cid=####
Запросы HTTP POST:
- api.k####.me/2.0/app/cache
- yes.yuchan####.com.cn/k1?requestId=####&g=####&ua=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/.log.lock
- /data/data/####/.log.ls
- /data/data/####/101672342539_fb2de962-f173-47e3-a8b6-3389fa1d08bf.log
- /data/data/####/101749388020_3337851b-3232-4599-986a-c8eded8bb116.log
- /data/data/####/103412932940_ef49b8a8-af8e-46de-b974-7d4c2b4a6db8.log
- /data/data/####/104129339675_84310e41-a912-4b79-82f6-f33ff5b6ba4e.log
- /data/data/####/104853555829_f6a02f43-451d-47d4-b3e4-b3005e52ee38.log
- /data/data/####/109423518422_cbb420f2-86bd-4274-9463-9267b5f58ff9.log
- /data/data/####/109533997908_87243542-faee-4af0-8586-ccce70284995.log
- /data/data/####/109572195631_ed1d408e-363f-4129-aae9-63ea2be34096.log
- /data/data/####/112056143112_6ecafc6c-8e5c-4351-861c-27d4459033b9.log
- /data/data/####/112118524276_2b0a434e-19d9-4a33-8279-c186697b43a5.log
- /data/data/####/112176146885_cc3e1500-2983-48a5-9e14-5d316ae8c4ce.log
- /data/data/####/112234418063_3bb433dd-a160-4c62-987f-32bf4b3832a7.log
- /data/data/####/112292279121_ed7bd7a1-7425-40e8-8b16-e4f9d32b01fa.log
- /data/data/####/112586991045_5e562942-295c-4c76-b5cd-f2acc71c1b12.log
- /data/data/####/112657349205_691bb598-a62e-4ec6-84e4-a63d2bb045d0.log
- /data/data/####/112715469657_87a04ee6-2c64-4a19-bd67-0f7883e89fa6.log
- /data/data/####/112773931051_612bbab7-9de3-4ca6-aa8d-5b5d892d9297.log
- /data/data/####/3a289708e4a1479e5404979dfafcc597.0.tmp
- /data/data/####/3a289708e4a1479e5404979dfafcc597.1.tmp
- /data/data/####/61921871648_ef9d1cbb-3bab-42e2-8f24-60b31dfe8e31.log
- /data/data/####/61932617336_ad320aec-c2b9-44e5-b78c-9eb35b3126a1.log
- /data/data/####/6aef5796aabda7b44830a3b93f05aa4b.0.tmp
- /data/data/####/6aef5796aabda7b44830a3b93f05aa4b.1.tmp
- /data/data/####/94664871434_8cecdb9a-2747-4e50-8bde-b772869373e0.log
- /data/data/####/94726646864_c414d859-966d-4dcb-bb83-c384df060960.log
- /data/data/####/W_Key.xml
- /data/data/####/a.xml
- /data/data/####/ads-1992369766.jar
- /data/data/####/com.crittercism.optmz.config.xml
- /data/data/####/com.crittercism.usersettings.xml
- /data/data/####/com.qiangfeng.rootuninstaller.ramboosterpro_pre...es.xml
- /data/data/####/com.qiangfeng.rootuninstaller.ramboosterpro_pre...ml.bak
- /data/data/####/downloadswc
- /data/data/####/downloadswc-journal
- /data/data/####/gaClientId
- /data/data/####/google_analytics_v4.db-journal
- /data/data/####/google_tagmanager.db
- /data/data/####/google_tagmanager.db-journal
- /data/data/####/helloAndroid.db-journal
- /data/data/####/journal.tmp
- /data/data/####/libjiagu.so
- /data/data/####/me.kiip.sdk.xml
- /data/data/####/qihoo_jiagu_crash_report.xml
- /data/data/####/resource_GTM-K2GN5H
- /data/data/####/st.xml
- /data/data/####/webview.db-journal
- /data/media/####/4.8_gou.jar.tmp
- /data/media/####/restime.dat
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
Загружает динамические библиотеки:
- fqrsd
- libjiagu
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
