Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Adware.Altamob.1.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) sdk.api.kaf####.com:80
- TCP(HTTP/1.1) app.ufoto####.com:80
- TCP(TLS/1.0) 2####.58.212.238:443
- TCP(TLS/1.0) api.face####.com:443
Запросы DNS:
- app.ufoto####.com
- g####.face####.com
- sdk.api.kaf####.com
Запросы HTTP GET:
- app.ufoto####.com/blackListApi/commentCountry
- app.ufoto####.com/inetApi/getCountryCode?ver=####&code=####
Запросы HTTP POST:
- sdk.api.kaf####.com/v4/<Package>/config.php
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/FORNEWfuckture.xml
- /data/data/####/FeedbackInfo.xml
- /data/data/####/FeedbackInfo.xml (deleted)
- /data/data/####/camera_config_pref.xml
- /data/data/####/com.facebook.internal.preferences.APP_SETTINGS.xml
- /data/data/####/com.facebook.sdk.appEventPreferences.xml
- /data/data/####/com.facebook.sdk.attributionTracking.xml
- /data/data/####/com.google.android.gms.analytics.prefs.xml
- /data/data/####/com.google.android.gms.appid-no-backup
- /data/data/####/com.google.android.gms.appid.xml
- /data/data/####/com.google.android.gms.measurement.prefs.xml
- /data/data/####/daemon.t.tmp
- /data/data/####/google_analytics_v4.db-journal
- /data/data/####/google_app_measurement_local.db
- /data/data/####/google_app_measurement_local.db-journal
- /data/data/####/libjiagu-448441560.so
- /data/data/####/mobi_ads-journal
- /data/data/####/mobi_device
- /data/data/####/multidex.version.xml
- /data/data/####/multidex.version.xml (deleted)
- /data/data/####/request_tima.xml
- /data/data/####/webview.db-journal
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/daemon -p <Package>/dgfdgjp -r am startservice --user 0 -n <Package>/sdk.module.AdService -e key daemon -i 2020
- chmod 755 <Package Folder>/.jiagu/libjiagu-448441560.so
- chmod 777 <Package Folder>/daemon
- sh <Package Folder>/daemon -p <Package>/dgfdgjp -r am startservice --user 0 -n <Package>/sdk.module.AdService -e key daemon -i 2020
Загружает динамические библиотеки:
- FacialOutline
- facebeautify_4
- libjiagu-448441560
- makeupengine
- tsutils
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-NoPadding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-NoPadding
- DES
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
