Android.Packed.38316

Техническая информация

Вредоносные функции:

Загружает на исполнение код следующих детектируемых угроз:

Android.DownLoader.683.origin

Сетевая активность:

Подключается к:

UDP(DNS) <Google DNS>
TCP(HTTP/1.0) 4####.92.62.1:80
TCP(HTTP/1.0) pis.al####.com:80
TCP(HTTP/1.1) a####.u####.com:80
TCP(HTTP/1.1) android####.ab####.com:80
TCP(HTTP/1.1) pus.al####.com:80
TCP(HTTP/1.1) ab####.i####.ali####.com:80
TCP(HTTP/1.1) pss.al####.com:80
TCP(HTTP/1.1) cdn.app.ne####.####.com:80
TCP(HTTP/1.1) cdn.game####.org:80
TCP(HTTP/1.1) 1####.76.224.67:80
TCP(TLS/1.0) ho####.h####.top:443
TCP(TLS/1.0) pns.al####.com:443
TCP(TLS/1.0) ssl.google-####.com:443
TCP(TLS/1.0) googl####.g.doublec####.net:443
UDP 1####.168.75.254:4466

Запросы DNS:

a####.u####.com
ab####.i####.ali####.com
android####.ab####.com
cdn.app.ne####.top
cdn.game####.org
googl####.g.doublec####.net
ho####.h####.top
mt####.go####.com
pis.al####.com
pns.al####.com
pss.al####.com
pus.al####.com
ssl.google-####.com

Запросы HTTP GET:

ab####.i####.ali####.com/uploadIcon/2016_10_18_20_09_58_2587.png
ab####.i####.ali####.com/uploadIcon/2016_10_18_20_09_58_7214.png
ab####.i####.ali####.com/uploadIcon/2016_10_18_20_16_49_1072.png
ab####.i####.ali####.com/uploadIcon/2016_10_18_20_19_13_6080.png
ab####.i####.ali####.com/uploadIcon/2016_10_18_20_39_08_7144.png
ab####.i####.ali####.com/uploadIcon/2016_10_18_20_43_50_8818.png
ab####.i####.ali####.com/uploadIcon/2016_10_18_20_45_29_8742.png
ab####.i####.ali####.com/uploadIcon/2016_10_18_20_47_28_6846.png
ab####.i####.ali####.com/uploadIcon/2016_10_18_21_03_39_5854.png
ab####.i####.ali####.com/uploadIcon/2016_10_18_21_03_39_9778.png
ab####.i####.ali####.com/uploadIcon/2016_10_18_21_05_39_3076.png
ab####.i####.ali####.com/uploadIcon/2016_10_18_21_05_39_9104.png
ab####.i####.ali####.com/uploadIcon/2016_10_18_21_07_18_3735.png
ab####.i####.ali####.com/uploadIcon/2016_10_18_21_07_18_6427.png
ab####.i####.ali####.com/uploadIcon/2016_10_18_21_08_35_3087.png
ab####.i####.ali####.com/uploadIcon/2016_10_18_21_11_32_6906.png
ab####.i####.ali####.com/uploadIcon/2016_10_18_21_17_39_8760.png
ab####.i####.ali####.com/uploadIcon/2016_10_18_21_22_12_4116.png
ab####.i####.ali####.com/uploadIcon/2016_10_18_21_23_33_4831.png
ab####.i####.ali####.com/uploadIcon/2016_10_18_21_23_33_9132.png
ab####.i####.ali####.com/uploadIcon/2016_10_18_21_24_40_3229.png
ab####.i####.ali####.com/uploadIcon/2016_10_18_21_28_18_1660.png
ab####.i####.ali####.com/uploadIcon/2016_10_18_21_30_37_6999.png
ab####.i####.ali####.com/uploadIcon/2016_10_18_21_33_03_4054.png
ab####.i####.ali####.com/uploadIcon/2016_10_18_21_34_05_3319.png
ab####.i####.ali####.com/uploadIcon/2016_10_18_21_36_53_2895.png
ab####.i####.ali####.com/uploadIcon/2016_10_18_21_36_53_3467.jpg
ab####.i####.ali####.com/uploadIcon/2016_10_18_21_37_55_7866.png
android####.ab####.com/v1/api/adlists
android####.ab####.com/v1/api/applists
cdn.app.ne####.####.com/swenjian/nal
cdn.game####.org/strategy/UnknownDev
cdn.game####.org/strategy/base
cdn.game####.org/strategy/dev_root
cdn.game####.org/strategy/dev_root2
cdn.game####.org/strategy/larger4.3
cdn.game####.org/strategy/loss_4.3
cdn.game####.org/strategy/sul18
cdn.game####.org/strategy/symlink-adbd
pus.al####.com/kernal/sdkcontrol/vod_android-mobile_x86_9.1.1.1220.jpg

Запросы HTTP POST:

a####.u####.com/app_logs
pis.al####.com/p/pcdn/i.php?v=####
pss.al####.com/iku/log/acc
pss.al####.com/iku/log/acc?ver=####&flag=####&t=####&mytype=####

Изменения в файловой системе:

Создает следующие файлы:

/data/data/####/.imprint
/data/data/####/.jg.ic
/data/data/####/1151b499-abf3-4501-8489-c7c068e1b675
/data/data/####/1740c449fc10be62df60ba0f18696c9f
/data/data/####/32edd79a240b5f1e461d069caab1ec3e
/data/data/####/372a5a3a-f1ce-4690-a684-86ec04f11c6b
/data/data/####/40c1dfaa-7d85-48ac-8af1-7fe0310c27fd
/data/data/####/49c5b8c9-dd44-4d7c-b8e6-a3f41d8f04b9
/data/data/####/5fe2bf70-c87e-4848-a766-a55dd29d78dc.jar
/data/data/####/8b6f263391259b7a8e5f58ee71852ca8
/data/data/####/9243cbd8-f559-46eb-b32e-25bb74a19931
/data/data/####/Alvin2.xml
/data/data/####/AppStore.xml
/data/data/####/ApplicationCache.db-journal
/data/data/####/ContextData.xml
/data/data/####/Matrix
/data/data/####/Mj.xml
/data/data/####/SUBOXLOG_
/data/data/####/TextFavorite
/data/data/####/TextFavorite-journal
/data/data/####/UmengLocalNotificationStore.db-journal
/data/data/####/Wp.jar
/data/data/####/ads1522878431.jar
/data/data/####/b0141e478b25af7c40a8cca8de6c4708
/data/data/####/b18a021d11a3004d25017230b681476b
/data/data/####/bzwn.db-journal
/data/data/####/c61913b615fb6224701377a119081f36
/data/data/####/c70241aa-85c7-4655-80d0-073f19376ed8
/data/data/####/com.google.android.gms.analytics.prefs.xml
/data/data/####/com.google.android.gms.measurement.prefs.xml
/data/data/####/data_0
/data/data/####/data_1
/data/data/####/data_2
/data/data/####/data_3
/data/data/####/db3232f0-9a98-4eb0-b15f-f78473d8141f
/data/data/####/db7f8f08-dbc2-4355-9771-48c8116a916a
/data/data/####/ddexe
/data/data/####/debuggerd
/data/data/####/device.db
/data/data/####/e626861d-638a-46fc-92f7-0c6d1615fb24
/data/data/####/ebn.xml
/data/data/####/exchangeIdentity.json
/data/data/####/f_000001
/data/data/####/fileWork
/data/data/####/gaClientId
/data/data/####/google_analytics_v4.db-journal
/data/data/####/https_googleads.g.doubleclick.net_0.localstorage-journal
/data/data/####/index
/data/data/####/install-recovery.sh
/data/data/####/jg_so_upgrade_setting.xml
/data/data/####/libjiagu.so
/data/data/####/libpcdn_acc.zip
/data/data/####/libpcdn_acc_new.so
/data/data/####/mobclick_agent_cached_com.weqrf.ewf9
/data/data/####/multidex.version.xml
/data/data/####/pcdnconfigs.xml
/data/data/####/pcdnconfigs.xml.bak
/data/data/####/pidof
/data/data/####/root3
/data/data/####/su
/data/data/####/supolicy
/data/data/####/toolbox
/data/data/####/umeng_general_config.xml
/data/data/####/umeng_it.cache
/data/data/####/umeng_message_state.xml
/data/data/####/webview.db-journal
/data/data/####/webviewCookiesChromium.db-journal
/data/data/####/wsroot.sh
/data/media/####/-1011636799.tmp
/data/media/####/-1048146589.tmp
/data/media/####/-1076910393.tmp
/data/media/####/-1362981536.tmp
/data/media/####/-1426020462.tmp
/data/media/####/-209336384.tmp
/data/media/####/-350427477.tmp
/data/media/####/-448151956.tmp
/data/media/####/-52729654.tmp
/data/media/####/-571523648.tmp
/data/media/####/-585085565.tmp
/data/media/####/-598165751.tmp
/data/media/####/-641565615.tmp
/data/media/####/-7956473.tmp
/data/media/####/103994502.tmp
/data/media/####/1236017165.tmp
/data/media/####/1405401966.tmp
/data/media/####/1429097988.tmp
/data/media/####/1583181483.tmp
/data/media/####/1583228820.tmp
/data/media/####/1609781345.tmp
/data/media/####/1883294031.tmp
/data/media/####/630038378.tmp
/data/media/####/694640707.tmp
/data/media/####/703716596.tmp
/data/media/####/772812356.tmp
/data/media/####/911833101.tmp
/data/media/####/960572417.tmp
/data/media/####/Alvin2.xml
/data/media/####/ContextData.xml
/data/media/####/myself.dat

Другие:

Запускает следующие shell-скрипты:

chmod 755 <Package Folder>/.jiagu/libjiagu.so
chmod 777 Matrix ddexe debuggerd device.db fileWork install-recovery.sh pidof root3 su supolicy toolbox wsroot.sh
chmod 777 Matrix ddexe debuggerd fileWork install-recovery.sh pidof su supolicy toolbox wsroot.sh
sh

Загружает динамические библиотеки:

libjiagu
libpcdn_acc
pcdn_acc

Использует следующие алгоритмы для шифрования данных:

AES-CBC-PKCS5Padding

Использует следующие алгоритмы для расшифровки данных:

AES-CBC-PKCS5Padding

Использует специальную библиотеку для скрытия исполняемого байткода.

Осуществляет доступ к информации о сети.

Осуществляет доступ к информации о телефоне (номер, imei и тд.).

Осуществляет доступ к информации об установленных приложениях.

Осуществляет доступ к информации о запущенных приложениях.

Отрисовывает собственные окна поверх других приложений.

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней