Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Adware.Dowgin.14.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) d1.ireader####.com:80
- TCP(HTTP/1.1) d2.ireader####.com:80
- TCP(HTTP/1.1) a####.you####.com:80
- TCP(TLS/1.0) www.ireader####.com:443
Запросы DNS:
- a####.you####.com
- d1.ireader####.com
- d2.ireader####.com
- fb.u####.com
- t####.qin####.com
- www.ireader####.com
Запросы HTTP GET:
- a####.you####.com/sx/GetConfigInfo.aspx?ver=####&passID=####&ver=####&cl...
- d1.ireader####.com/GoodBooks/Books/cover/2015-03-30/6369fc8d-b933-4435-a...
- d1.ireader####.com/GoodBooks/Books/cover/2015-04-08/4e47ce6e-0056-4cb8-9...
- d1.ireader####.com/GoodBooks/Books/cover/2015-04-14/0da8d6f2-c021-4df6-9...
- d1.ireader####.com/GoodBooks/Books/cover/2015-06-19/7aaa5483-edb0-417f-9...
- d1.ireader####.com/GoodBooks/Books/cover/2015-06-19/e983ec41-27eb-4358-8...
- d1.ireader####.com/GoodBooks/Books/cover/2015-07-02/b41420dc-ed33-40c5-9...
- d1.ireader####.com/GoodBooks/Books/cover/2017-03-16/827cad88-9bdd-4fae-b...
- d1.ireader####.com/GoodBooks/Books/cover/2017-07-13/734d2ea8-2877-4a82-8...
- d1.ireader####.com/GoodBooks/Books/cover/2017-09-11/a6b35f20-ac16-4341-b...
- d1.ireader####.com/GoodBooks/Books/cover/2017-09-11/bfcf7d86-c569-494d-8...
- d1.ireader####.com/GoodBooks/Books/cover/2017-09-16/f82040d0-815a-49aa-8...
- d1.ireader####.com/GoodBooks/Books/cover/2017-10-16/8dd0ed85-a145-4943-9...
- d1.ireader####.com/GoodBooks/Books/cover/2017-12-12/85a395b8-d288-49a9-b...
- d1.ireader####.com/GoodBooks/Books/cover/2018-01-15/5f30052d-7308-4d5d-b...
- d1.ireader####.com/GoodBooks/images/SeriesImg/Big/f76f0c3553f44dfd8c02f8...
- d2.ireader####.com/GoodBooks/Books/cover/2015-01-14/71690447-bd8f-4421-9...
- d2.ireader####.com/GoodBooks/Books/cover/2015-03-30/b501b620-dee4-46f5-9...
- d2.ireader####.com/GoodBooks/Books/cover/2015-04-02/923e22e8-6c98-4359-8...
- d2.ireader####.com/GoodBooks/Books/cover/2015-05-08/c6e0eb27-13d9-4e16-b...
- d2.ireader####.com/GoodBooks/Books/cover/2015-06-19/b79b4534-2dd4-42ec-a...
- d2.ireader####.com/GoodBooks/Books/cover/2015-06-19/c4cd959f-d76c-4ba0-8...
- d2.ireader####.com/GoodBooks/Books/cover/2015-06-19/efa228a8-30b1-4a9d-9...
- d2.ireader####.com/GoodBooks/Books/cover/2017-09-16/f82040d0-815a-49aa-8...
- d2.ireader####.com/GoodBooks/Books/cover/2018-01-14/7dfea622-cd4e-44e2-a...
- d2.ireader####.com/GoodBooks/Books/cover/2018-01-15/d23463ba-e2ec-442b-a...
- d2.ireader####.com/GoodBooks/Books/cover/2018-01-16/f2ed5b3e-35db-4a74-9...
- d2.ireader####.com/GoodBooks/Books/cover/2018-04-20/9e1db3bf-e485-4b13-8...
- d2.ireader####.com/GoodBooks/images/SeriesImg/Big/4f0c41190bde456daed03e...
- d2.ireader####.com/GoodBooks/images/SeriesImg/Big/5690d92c0377481f9de01b...
- d2.ireader####.com/GoodBooks/images/SeriesImg/Big/7842a0d3abf24336b5b89d...
- d2.ireader####.com/GoodBooks/images/SeriesImg/Big/db348fb6740144c9a06551...
- d2.ireader####.com/GoodBooks/images/SeriesImg/Big/fae4b13310be4164a74db0...
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/aireader_v2-journal
- /data/data/####/com_ireader_city_you_qi.xml
- /data/data/####/ireader.db-journal
- /data/data/####/libjiagu-313272107.so
- /data/data/####/multidex.version.xml
- /data/data/####/sobzz.jar
- /data/data/####/umeng_feedback_conversations.xml
- /data/data/####/umeng_feedback_user_info.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_message_state.xml
- /data/data/####/webview.db-journal
- /data/data/####/www.ireadercity.com.443
- /data/data/####/zef23947f.xml
- /data/media/####/.did
- /data/media/####/006009d120bb420cace032d0669d7521jpgx.tmp
- /data/media/####/006eeb2794b64bb6ad3b622c46afc8e8jpgx.tmp
- /data/media/####/007b054fd2e1471a8076c13d2aa639a2jpgx.tmp
- /data/media/####/0098917f69ab4ccea6ea240a262cf3b7jpgx.tmp
- /data/media/####/07f702baf6cb4093a8ae4ac7d95e92afjpgx.tmp
- /data/media/####/10a6ba4615a04deaa9b6b27f743422a4jpgx.tmp
- /data/media/####/13766ae539d3456d8b5bde550879d854jpgx.tmp
- /data/media/####/354ac3f6fcf041508dd5fad9d621fdc7jpgx.tmp
- /data/media/####/383f48530c464e9283134276cf59beb8jpgx.tmp
- /data/media/####/5fe297e6271649a89b7220054cd80c5cjpgx.tmp
- /data/media/####/6b3ea00c9abb4186b36de076053b7054jpgx.tmp
- /data/media/####/71d7545f40a9419d8da6b14d54523f18.dat
- /data/media/####/71e88fe0ed7849b3ac2ac9d0384a3a9bjpgx.tmp
- /data/media/####/75d6f6f2ffca4423919dc8974408701bjpgx.tmp
- /data/media/####/7d20f8afa21543fdbfe9ec129c1393c7.dat
- /data/media/####/8df90116dc5b4a02888ac87b727503c7.dat
- /data/media/####/914e86ee9b95409e8a7b87970ce56453jpgx.tmp
- /data/media/####/91a8a7aa93b4447189fee159910d7390jpgx.tmp
- /data/media/####/9409afc69a19470bb9ac03ca8a6dff5fjpgx.tmp
- /data/media/####/97e2476b621e4ae790e997ee18ccb6a5.dat
- /data/media/####/9d43af545c214fd89d07ec68a04eb1dfjpgx.tmp
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/adv_self_config.dat
- /data/media/####/af73292e6a414ea2b38ada7e248f3115jpgx.tmp
- /data/media/####/b63e5f76e9bf4e2287980d53e0ee2322jpgx.tmp
- /data/media/####/bdec3d4802774f009b15af255538c9afjpgx.tmp
- /data/media/####/c572328aba2d4d08b845ed637ab8ba80jpgx.tmp
- /data/media/####/ccd5d58b21cf40899683e983b345608ejpgx.tmp
- /data/media/####/cfg_rank.data
- /data/media/####/chapter_info_list.online
- /data/media/####/config.data
- /data/media/####/e296c8462e0e47c5bfca9a8ef6284eefjpgx.tmp
- /data/media/####/e32b552870d44ae1b00b4214325da597jpgx.tmp
- /data/media/####/e8c651e4dcc446f9bc7e48fdecc76839jpgx.tmp
- /data/media/####/home_infos_1.dat
- /data/media/####/home_infos_2.dat
- /data/media/####/hotkeys.dat
- /data/media/####/import.dat
- /data/media/####/releated_list_e8c651e4dcc446f9bc7e48fdecc76839.dat
- /data/media/####/spec_3ac2451682d044f9a07396e11a96d48a.jpgx.tmp
- /data/media/####/spec_70d13a24cb804fe68c9f00c14274c8f7.jpgx.tmp
- /data/media/####/spec_b6de913e2e3f400484de929568866c36.jpgx.tmp
- /data/media/####/spec_d5c28e70f7cc49f59e742256b3391122.jpgx.tmp
- /data/media/####/spec_e1a84f4b9e1947068576183c5b4bff47.jpgx.tmp
- /data/media/####/spec_f0176417723a4b20ab3ee7beaee768ef.jpgx.tmp
- /data/media/####/special_list_1.dat
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu-313272107.so
Загружает динамические библиотеки:
- libjiagu-313272107
- smssdk
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- DES
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации о зарегистрированных на устройстве аккаунтах (Google, Facebook и тд.).
Отрисовывает собственные окна поверх других приложений.
