Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Xiny.20
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) ma####.turbog####.ru:80
- TCP(HTTP/1.1) img.cool####.cn.####.com:80
- TCP(HTTP/1.1) mc.ya####.ru:80
- TCP(HTTP/1.1) s.un####.com:80
- TCP(HTTP/1.1) use####.com:80
- TCP(HTTP/1.1) cf.gdata####.net:80
- TCP(HTTP/1.1) www.google-####.com:80
- TCP(HTTP/1.1) rd.gdata####.net:80
- TCP(TLS/1.0) mc.ya####.ru:443
- TCP(TLS/1.0) s####.g.doublec####.net:443
- TCP(TLS/1.0) use####.com:443
Запросы DNS:
- cf.gdata####.net
- img.cool####.cn
- ma####.turbog####.ru
- mc.ya####.ru
- rd.gdata####.net
- s####.g.doublec####.net
- s.un####.com
- use####.com
- www.google-####.com
Запросы HTTP GET:
- img.cool####.cn.####.com/2011/newmon.jar
- ma####.turbog####.ru/
- ma####.turbog####.ru/css/jquery.lightbox-0.5.css
- ma####.turbog####.ru/css/reset.css
- ma####.turbog####.ru/css/style.css?2####
- ma####.turbog####.ru/file/banners/800_200/50.jpg
- ma####.turbog####.ru/file/banners/800_200/51.jpg
- ma####.turbog####.ru/file/icon_100/.png
- ma####.turbog####.ru/file/icon_100/Turbo_Kids_2_(ivi).png
- ma####.turbog####.ru/file/icon_100/awem.libsdl.app.sd3.free.png
- ma####.turbog####.ru/file/icon_100/com.Alawar.SnarkBusters.KindleFire.png
- ma####.turbog####.ru/file/icon_100/com.absolutist.littleelephanthidden.png
- ma####.turbog####.ru/file/icon_100/com.absolutist.touchpatchturbo.png
- ma####.turbog####.ru/file/icon_100/com.aitype.android.png
- ma####.turbog####.ru/file/icon_100/com.alawar.FarmFrenzy2.Tablet.png
- ma####.turbog####.ru/file/icon_100/com.alawar.FarmFrenzy2.png
- ma####.turbog####.ru/file/icon_100/com.alawar.FarmFrenzy3operator.png
- ma####.turbog####.ru/file/icon_100/com.alawar.tankoboxlite.png
- ma####.turbog####.ru/file/icon_100/com.altarsoft.birdsdefenders.png
- ma####.turbog####.ru/file/icon_100/com.altarsoft.luckybuilder.png
- ma####.turbog####.ru/file/icon_100/com.altarsoft.morphoballlite.png
- ma####.turbog####.ru/file/icon_100/com.altarsoft.smartballs.png
- ma####.turbog####.ru/file/icon_100/com.altarsoft.tornadorush.png
- ma####.turbog####.ru/file/icon_100/com.casualforge.HotelMogulHD.png
- ma####.turbog####.ru/file/icon_100/com.dataviz.docstogo.png
- ma####.turbog####.ru/file/icon_100/com.facebook.katana.png
- ma####.turbog####.ru/file/icon_100/com.icq.mobile.client.png
- ma####.turbog####.ru/file/icon_100/com.ls.coloropedia.ru.full.png
- ma####.turbog####.ru/file/icon_100/com.ls.fifteen.png
- ma####.turbog####.ru/file/icon_100/com.ls.memory.png
- ma####.turbog####.ru/file/icon_100/com.ls.shaper.png
- ma####.turbog####.ru/file/icon_100/com.ls.smartspeller.de.png
- ma####.turbog####.ru/file/icon_100/com.ls.smartspeller.en.png
- ma####.turbog####.ru/file/icon_100/com.ls.smartspeller.fr.png
- ma####.turbog####.ru/file/icon_100/com.ls.smartspeller.rus.png
- ma####.turbog####.ru/file/icon_100/com.magmamobile.game.Astrojump.png
- ma####.turbog####.ru/file/icon_100/com.magmamobile.game.Bowling3D.png
- ma####.turbog####.ru/file/icon_100/com.magmamobile.game.BubbleBlast2.png
- ma####.turbog####.ru/file/icon_100/com.magmamobile.game.BubbleBlastSport...
- ma####.turbog####.ru/file/icon_100/com.magmamobile.game.Dolphin.png
- ma####.turbog####.ru/file/icon_100/com.magmamobile.game.FunFair.png
- ma####.turbog####.ru/file/icon_100/com.magmamobile.game.IceFloe.png
- ma####.turbog####.ru/file/icon_100/com.magmamobile.game.MatchUp.png
- ma####.turbog####.ru/file/icon_100/com.magmamobile.game.Plumber.png
- ma####.turbog####.ru/file/icon_100/com.magmamobile.game.Shuffle.png
- ma####.turbog####.ru/file/icon_100/com.magmamobile.game.TapAndFurious.png
- ma####.turbog####.ru/file/icon_100/com.magmamobile.game.ThunderBear.png
- ma####.turbog####.ru/file/icon_100/com.magmamobile.game.checkers.png
- ma####.turbog####.ru/file/icon_100/com.magmamobile.game.connectEm.png
- ma####.turbog####.ru/file/icon_100/com.magmamobile.game.fingerstadium.png
- ma####.turbog####.ru/file/icon_100/com.magmamobile.game.funzybloc.png
- ma####.turbog####.ru/file/icon_100/com.magmamobile.game.mousetrap.png
- ma####.turbog####.ru/file/icon_100/com.magmamobile.game.shooter.free.png
- ma####.turbog####.ru/file/icon_100/com.magmamobile.game.speedyfish.png
- ma####.turbog####.ru/file/icon_100/com.magmamobile.games.mahjong3D.png
- ma####.turbog####.ru/file/icon_100/com.nevosoft.mykingdomfortheprincess....
- ma####.turbog####.ru/file/icon_100/com.nevosoft.mykingdomfortheprincess3...
- ma####.turbog####.ru/file/icon_100/com.nix.game.pinball.free.png
- ma####.turbog####.ru/file/icon_100/com.nordcurrent.Games101.png
- ma####.turbog####.ru/file/icon_100/com.nordcurrent.happychef.png
- ma####.turbog####.ru/file/icon_100/com.openmygame.games.kr.client.png
- ma####.turbog####.ru/file/icon_100/com.opera.browser.png
- ma####.turbog####.ru/file/icon_100/com.skype.raider.png
- ma####.turbog####.ru/file/icon_100/com.vkontakte.android.png
- ma####.turbog####.ru/file/icon_100/ru.qixi.android.account.png
- ma####.turbog####.ru/file/icon_100/ru.qixi.android.account2.png
- ma####.turbog####.ru/file/icon_100/ru.qixi.android.fairies.en.png
- ma####.turbog####.ru/file/icon_100/ru.qixi.android.fairies.png
- ma####.turbog####.ru/file/icon_100/ru.qixi.android.rainbowexpress.png
- ma####.turbog####.ru/file/icon_100/ru.qixi.android.smartrabbits.png
- ma####.turbog####.ru/file/icon_100/ru.qixi.android.smartrabbitsfree.png
- ma####.turbog####.ru/file/icon_100/ru.turboshop.diary.png
- ma####.turbog####.ru/file/icon_100/ru.turboshop.mylittlepinkpony.png
- ma####.turbog####.ru/file/icon_100/ru.turboshop.russiantales.png
- ma####.turbog####.ru/file/icon_100/ru.turboshop.smallwitch.png
- ma####.turbog####.ru/file/icon_100/ru.turboshop.stylegirls.png
- ma####.turbog####.ru/file/icon_100/ru.turboshop.use4classrussian.png
- ma####.turbog####.ru/file/icon_100/ru.yandex.yandexmaps.png
- ma####.turbog####.ru/file/icon_512/Treasures.hunters.turboshop.png
- ma####.turbog####.ru/file/icon_512/com.adobe.flashplayer.png
- ma####.turbog####.ru/file/icon_512/com.nordcurrent.Games101.png
- ma####.turbog####.ru/file/icon_512/ru.turboshop.use4classmatematic.png
- ma####.turbog####.ru/images/bg.jpg
- ma####.turbog####.ru/images/button_bg.png
- ma####.turbog####.ru/images/button_black.png
- ma####.turbog####.ru/images/button_gif.gif
- ma####.turbog####.ru/images/grey_gragient.png
- ma####.turbog####.ru/images/logo.png
- ma####.turbog####.ru/images/main_block_green.png
- ma####.turbog####.ru/images/main_block_grey.png
- ma####.turbog####.ru/images/news_block_bg.png
- ma####.turbog####.ru/images/playpass.png
- ma####.turbog####.ru/images/playpass_gradient.png
- ma####.turbog####.ru/images/qr.gif
- ma####.turbog####.ru/images/search_box.png
- ma####.turbog####.ru/images/search_button.png
- ma####.turbog####.ru/images/section_bg.png
- ma####.turbog####.ru/images/slider_pagination.png
- ma####.turbog####.ru/images/soc/fb.png
- ma####.turbog####.ru/images/soc/tv.png
- ma####.turbog####.ru/images/soc/vc.png
- ma####.turbog####.ru/script/jquery-1.7.2.min.js
- ma####.turbog####.ru/script/jquery.lightbox-0.5.js
- ma####.turbog####.ru/script/jquery.rating.js
- ma####.turbog####.ru/script/slides.min.jquery.js
- ma####.turbog####.ru/upload/index.png
- mc.ya####.ru/metrika/watch.js
- use####.com/js/api/openapi.js?4####
- www.google-####.com/ga.js
- www.google-####.com/r/__utm.gif?utmwv=####&utms=####&utmn=####&utmhn=###...
Запросы HTTP POST:
- cf.gdata####.net/config/update
- rd.gdata####.net/dc/sync_adr
- s.un####.com/cw/cp.action?requestId=####&g=####
- s.un####.com/cw/interface!u2.action?protocol=####&version=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/ApplicationCache.db-journal
- /data/data/####/ApplicationCache.db-journal (deleted)
- /data/data/####/CachedGeoposition.db
- /data/data/####/CachedGeoposition.db-journal
- /data/data/####/W_Key.xml
- /data/data/####/cdata.xml
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/dataeye_database_908A7B6AAB68AE90D12C8F1AC28252...ournal
- /data/data/####/dataeye_database_908A7B6AAB68AE90D12C8F1AC28252A2.db
- /data/data/####/dc.908A7B6AAB68AE90D12C8F1AC28252A2.preferences.xml
- /data/data/####/downloadswc
- /data/data/####/downloadswc-journal
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/f_000004
- /data/data/####/f_000005
- /data/data/####/f_000006
- /data/data/####/f_000007
- /data/data/####/f_000008
- /data/data/####/f_000009
- /data/data/####/f_00000a
- /data/data/####/f_00000b
- /data/data/####/f_00000c
- /data/data/####/f_00000d
- /data/data/####/f_00000e
- /data/data/####/f_00000f
- /data/data/####/f_000010
- /data/data/####/f_000011
- /data/data/####/f_000012
- /data/data/####/f_000013
- /data/data/####/f_000014
- /data/data/####/f_000015
- /data/data/####/f_000016
- /data/data/####/f_000017
- /data/data/####/f_000018
- /data/data/####/f_000019
- /data/data/####/f_00001a
- /data/data/####/f_00001b
- /data/data/####/f_00001c
- /data/data/####/f_00001d
- /data/data/####/f_00001e
- /data/data/####/f_00001f
- /data/data/####/f_000020
- /data/data/####/f_000021
- /data/data/####/f_000022
- /data/data/####/f_000023
- /data/data/####/f_000024
- /data/data/####/f_000025
- /data/data/####/f_000026
- /data/data/####/f_000027
- /data/data/####/f_000028
- /data/data/####/f_000029
- /data/data/####/f_00002a
- /data/data/####/f_00002b
- /data/data/####/f_00002c
- /data/data/####/f_00002d
- /data/data/####/f_00002e
- /data/data/####/f_00002f
- /data/data/####/f_000030
- /data/data/####/f_000031
- /data/data/####/f_000032
- /data/data/####/f_000033
- /data/data/####/f_000034
- /data/data/####/f_000035
- /data/data/####/f_000036
- /data/data/####/f_000037
- /data/data/####/f_000038
- /data/data/####/f_000039
- /data/data/####/f_00003a
- /data/data/####/file__0.localstorage-journal
- /data/data/####/http_market.turbogames.ru_0.localstorage-journal
- /data/data/####/index
- /data/data/####/libjiagu.so
- /data/data/####/st.xml
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/2D7F07BB6125DEB407E92A22DC4AC550
- /data/media/####/3.7_newmon.jar.tmp
- /data/media/####/assetstime.dat
- /data/media/####/uid
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh
- chmod 755 <Package Folder>/files/libjiagu.so
- ls -l /sbin/su
- ls -l /system/bin/su
- ls -l /system/sbin/su
- ls -l /system/xbin/su
- ls -l /vendor/bin/su
Загружает динамические библиотеки:
- ka
- libjiagu
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к интерфейсам записи аудио/видео данных.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Отрисовывает собственные окна поверх других приложений.
