Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.570.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) ts.k####.cn:80
- TCP(HTTP/1.1) m####.k####.cn:80
- TCP(HTTP/1.1) oc.u####.com:80
- TCP(HTTP/1.1) c####.k####.cn.####.net:80
- TCP(HTTP/1.1) as.e####.com:80
- TCP v.m####.com:7701
- TCP v.m####.com:7702
- TCP v.m####.com:7703
Запросы DNS:
- a####.u####.com
- as.e####.com
- c####.k####.cn
- m####.k####.cn
- oc.u####.com
- ts.k####.cn
- v.m####.com
Запросы HTTP GET:
- as.e####.com/as?m=####&v=####&k=####&pkg=####&json=####
- c####.k####.cn.####.net/tingshu/catIcon/1.png
- c####.k####.cn.####.net/tingshu/catIcon/16.png
- c####.k####.cn.####.net/tingshu/catIcon/2.png
- c####.k####.cn.####.net/tingshu/catIcon/27.png
- c####.k####.cn.####.net/tingshu/catIcon/44.png
- c####.k####.cn.####.net/tingshu/catIcon/59.png
- c####.k####.cn.####.net/tingshu/catIcon/8.png
- c####.k####.cn.####.net/tingshu/catIcon/97.png
- c####.k####.cn.####.net/tingshu/catIcon/98.png
- c####.k####.cn.####.net/tingshu/img/13/100102113a.jpg
- c####.k####.cn.####.net/tingshu/img/24/111624a.jpg
- c####.k####.cn.####.net/tingshu/img/29/e5l1yq.jpg
- c####.k####.cn.####.net/tingshu/img/3/100102803.jpg
- c####.k####.cn.####.net/tingshu/img/30/100132030.jpg
- c####.k####.cn.####.net/tingshu/img/40/100100540A.jpg
- c####.k####.cn.####.net/tingshu/img/45/100103245a.jpg
- c####.k####.cn.####.net/tingshu/img/46/100100146a.jpg
- c####.k####.cn.####.net/tingshu/img/55/100136555.jpg
- c####.k####.cn.####.net/tingshu/img/58/100112058.jpg
- c####.k####.cn.####.net/tingshu/img/59/100100359.jpg
- c####.k####.cn.####.net/tingshu/img/6/100000506s.jpg
- c####.k####.cn.####.net/tingshu/img/72/100103172q.jpg
- c####.k####.cn.####.net/tingshu/img/72/100130372.jpg
- c####.k####.cn.####.net/tingshu/img/78/100129878.jpg
- c####.k####.cn.####.net/tingshu/img/80/100100180.jpg
- c####.k####.cn.####.net/tingshu/img/82/100102782.jpg
- c####.k####.cn.####.net/tingshu/img/92/100103392.jpg
- c####.k####.cn.####.net/tingshu/img/94/424794a.jpg
- c####.k####.cn.####.net/tingshu/img/95/100103095.jpg
- c####.k####.cn.####.net/tingshu/img/96/100136596.jpg
- m####.k####.cn/mobi.s?f=####&q=XWGUx####
- ts.k####.cn/service/gethome.php?act=####
- ts.k####.cn/service/getlist.v31.php?act=####
- ts.k####.cn/service/getlist.v31.php?act=####&pos=####
Запросы HTTP POST:
- a####.u####.com/app_logs
- oc.u####.com/check_config_update
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/23.xml
- /data/data/####/23356507059351895.xml
- /data/data/####/24356507059351895.xml
- /data/data/####/25356507059351895.xml
- /data/data/####/360.db-journal
- /data/data/####/896382.jar
- /data/data/####/Alvin2.xml
- /data/data/####/AppStore.xml
- /data/data/####/ContextData.xml
- /data/data/####/da.jar
- /data/data/####/fjgq.free.novle.nightlistenbook_preferences.xml
- /data/data/####/fjgq.free.novle.nightlistenbook_preferences.xml.bak
- /data/data/####/kw_tingshu.db-journal
- /data/data/####/libjiagu.so
- /data/data/####/mobclick_agent_online_setting_fjgq.free.novle.n...ok.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/umeng_message_state.xml
- /data/data/####/uuid.xml
- /data/data/####/webview.db-journal
- /data/media/####/.nomedia
- /data/media/####/.setting.dat
- /data/media/####/104263205
- /data/media/####/105010748
- /data/media/####/1147985540
- /data/media/####/1376978974
- /data/media/####/1a06cj8k17lrbm1mun2jvprjx.tmp
- /data/media/####/1kk2u9gcal44j6acaujta9ehp.tmp
- /data/media/####/1nkoqr8gpd8e10e9oceo1x1x5.tmp
- /data/media/####/1to707mxwublgnx0kdg7i8ygq.tmp
- /data/media/####/2kjwoz1mukzvtii2w6xjb0hg.tmp
- /data/media/####/2mkruxxtf8qd45ls79ywhs36p.tmp
- /data/media/####/2su9re2l47awl8chbsu72c5h9.tmp
- /data/media/####/2t4rwfo3l23vo7qqit9dlr77g.tmp
- /data/media/####/2tin1s6pkgv5nis4davuy5q20.tmp
- /data/media/####/2z16cq1oguw1d6jypkwi27tw7.tmp
- /data/media/####/3d9g6dljim54tu0v3ann2lok9.tmp
- /data/media/####/439o2atq69l2lfnbpq6a8vt8k.tmp
- /data/media/####/43y31s3xe5og4vthpe3ml1ymz.tmp
- /data/media/####/4g7uo03eu0ttgs8txs4xvfi5l.tmp
- /data/media/####/4tul91sestf1swz47xd5rhfvp.tmp
- /data/media/####/544d51un2rlhffrrvp6bkmgp7.tmp
- /data/media/####/55dd56rf50y19kzqdco8yhlk1.tmp
- /data/media/####/5br8k67j4wfphukx4umzn8js3.tmp
- /data/media/####/5k20zryun0lmrawr0zekpyra6.tmp
- /data/media/####/5tlx8yxjh9x7o536kgwd6hm68.tmp
- /data/media/####/5vcg8gcj98ictuhqyvriyhgp9.tmp
- /data/media/####/5yxpx2r7l7cuskl5oqdud5xc4.tmp
- /data/media/####/611skgf6x9szbp5tql8zq5uay.tmp
- /data/media/####/7e60m1t4hmkvrfid30q6be5w6.tmp
- /data/media/####/7f4xenr8lztls85xpjetdoxm5.tmp
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/g1joosi29gcwy9eh5hwmkhe4.tmp
- /data/media/####/j52s8mzi5cpfuisab6mq2bdv.tmp
- /data/media/####/kef8365vdlfd2rvy4bi5orbe.tmp
- /data/media/####/n9smm5cjht41ngc74g1qlxch.tmp
- /data/media/####/test.aac
- /data/media/####/x2wgpqoftbqjckjd11porjbv.tmp
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
Загружает динамические библиотеки:
- fg
- libjiagu
- okjbvcde345789oijhgfdr6
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
