Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Adware.Kyview.2.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) rd.gdata####.net:80
- TCP(TLS/1.0) co####.ad####.cn:443
Запросы DNS:
- cf.gdata####.net
- co####.ad####.cn
- rd.gdata####.net
Запросы HTTP POST:
- rd.gdata####.net/dc/sync_adr
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/.log.lock
- /data/data/####/.log.ls
- /data/data/####/daemon
- /data/data/####/dataeye_database_7114A4EBD5B39FCAC415F25261C2E9...ournal
- /data/data/####/dataeye_database_7114A4EBD5B39FCAC415F25261C2E9C9.db
- /data/data/####/dc.7114A4EBD5B39FCAC415F25261C2E9C9.preferences.xml
- /data/data/####/dc.global.prfrerence.xml
- /data/data/####/kidsplayintPrefsFile.xml
- /data/data/####/libjiagu.so
- /data/data/####/sg.7114A4EBD5B39FCAC415F25261C2E9C9.preferences.xml
- /data/media/####/2D7F07BB6125DEB407E92A22DC4AC550
- /data/media/####/appids.dat
- /data/media/####/uid
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh
- cat /sys/class/net/wlan0/address
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- chmod 777 <Package Folder>/app_bin/daemon
- ls -l /sbin/su
- ls -l /system/bin/su
- ls -l /system/sbin/su
- ls -l /system/xbin/su
- ls -l /vendor/bin/su
- mars_d -p <Package> -s com.security.guard.monitor.daemon.AssistantService -p1r 46 -p1w 47 -p2r 48 -p2w 49
Загружает динамические библиотеки:
- daemon_api20
- libjiagu
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Отрисовывает собственные окна поверх других приложений.
