Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Adware.Panda.2.origin
- Adware.Panda.3.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) st####.p####.net####.com:80
- TCP(HTTP/1.1) r####.yo####.com:80
- TCP(HTTP/1.1) rev.da.net####.com:80
- TCP(HTTP/1.1) ydpushs####.yo####.com:80
- TCP(HTTP/1.1) s####.jom####.com:80
- TCP(HTTP/1.1) k####.yo####.com:80
- TCP(HTTP/1.1) hm.b####.com:80
- TCP(HTTP/1.1) c.c####.com:80
- TCP(HTTP/1.1) cstati####.126.net:80
- TCP(HTTP/1.1) a.appj####.com:80
- TCP(HTTP/1.1) z.c####.com:80
- TCP(HTTP/1.1) lbs.net####.im:80
- TCP(HTTP/1.1) xue.yo####.com:80
- TCP(TLS/1.0) s3.ps####.com:443
- TCP(TLS/1.0) k####.yo####.com:443
- TCP(TLS/1.0) analy####.163.com:443
- TCP(TLS/1.0) gy3b74i####.wsclou####.com:443
- TCP(TLS/1.0) nos.net####.com:443
- TCP(TLS/1.0) qi####.com:443
- TCP(TLS/1.0) a.ydst####.com.####.com:443
- TCP(TLS/1.0) ipser####.163.com:443
- TCP(TLS/1.0) 5199####.sh.125213####.####.com:443
- TCP(TLS/1.0) nim.qi####.com:443
- TCP(TLS/1.0) s####.tc.qq.com:443
- TCP(TLS/1.0) dag.qi####.com:443
- TCP(TLS/1.0) rev.da.net####.com:443
- TCP(TLS/1.0) s1.ps####.com:443
- TCP(TLS/1.0) cstati####.126.net:443
- TCP(TLS/1.0) xue.yo####.com:443
- TCP and####.p####.126.net:6002
- TCP l####.net####.im:8080
Запросы DNS:
- 5199####.sh.125213####.####.com
- a.appj####.com
- analy####.163.com
- and####.p####.126.net
- api.s####.b####.com
- c.yo####.com
- cstati####.126.net
- dag.qi####.com
- hm.b####.com
- ipser####.163.com
- k####.yo####.com
- ke.yo####.com
- l####.net####.im
- lbs.net####.im
- mt####.go####.com
- nim.qi####.com
- nos.net####.com
- oima####.ydst####.com
- oima####.ydst####.com
- oima####.ydst####.com
- oima####.ydst####.com
- oima####.ydst####.com
- oima####.ydst####.com
- oima####.ydst####.com
- oima####.ydst####.com
- oima####.ydst####.com
- oima####.ydst####.com
- oima####.ydst####.com
- oima####.ydst####.com
- oima####.ydst####.com
- oima####.ydst####.com
- oima####.ydst####.com
- oima####.ydst####.com
- oima####.ydst####.com
- oima####.ydst####.com
- oima####.ydst####.com
- oima####.ydst####.com
- p####.zhanz####.b####.com
- qi####.com
- r####.wx.qq.com
- r####.yo####.com
- rev.da.net####.com
- s1.ps####.com
- s11.c####.com
- s3.ps####.com
- sh####.ydst####.com
- shared-####.ydst####.com
- st####.p####.net####.com
- ursdo####.n####.127.net
- xue.yo####.com
- ydpushs####.yo####.com
- z13.c####.com
Запросы HTTP GET:
- c.c####.com/z_stat.php?id=####&web_id=####
- cstati####.126.net/image?id=####&product=####&w=####&h=####
- hm.b####.com/hm.gif?cc=####&ck=####&cl=####&ds=####&vl=####&et=####&ja=#...
- hm.b####.com/hm.js?d99620d####
- k####.yo####.com/api/course/coupon.jsonp?courseId=####
- k####.yo####.com/m/course/detail/2613
- lbs.net####.im/lbs/conf.jsp?tp=####&sv=####&pv=####&id=####&k=####&devfl...
- r####.yo####.com/rlog.php?_npid=####&_ncat=####&_ncoo=####&_nssn=####&_n...
- rev.da.net####.com/__dam.gif?_da_ntes_uid=####&type=####&domain=####&url...
- s####.jom####.com/push.js
- s####.jom####.com/s.gif?l=####
- st####.p####.net####.com/dns/publicIps?domain=####
- xue.yo####.com/course/app/index.json?type=####&keyfrom=####&model=####&m...
- xue.yo####.com/course/app/switches.json?&keyfrom=####&model=####&mid=###...
- ydpushs####.yo####.com/register?token=####&keyfrom=####&push=####
- z.c####.com/stat.htm?id=####&r=####&lg=####&ntime=####&cnzz_eid=####&sho...
Запросы HTTP POST:
- a.appj####.com/ad-service/ad/mark
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/.log.lock
- /data/data/####/.log.ls
- /data/data/####/NIMSDK_Config_9e92dd37f92a04529e8352810328d088.xml
- /data/data/####/NIMSDK_Config_9e92dd37f92a04529e8352810328d088_...c4.xml
- /data/data/####/NetEasePushService.xml
- /data/data/####/Unicorn.9e92dd37f92a04529e8352810328d088.xml
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/com.youdao.courser_preferences.xml
- /data/data/####/com.youdao.courser_preferences.xml.bak
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/f_000004
- /data/data/####/f_000005
- /data/data/####/f_000006
- /data/data/####/f_000007
- /data/data/####/f_000008
- /data/data/####/f_000009
- /data/data/####/f_00000a
- /data/data/####/f_00000b
- /data/data/####/f_00000c
- /data/data/####/f_00000d
- /data/data/####/f_00000e
- /data/data/####/f_00000f
- /data/data/####/f_000010
- /data/data/####/f_000011
- /data/data/####/f_000012
- /data/data/####/f_000013
- /data/data/####/f_000014
- /data/data/####/index
- /data/data/####/jg_app_update_settings_random.xml
- /data/data/####/libjiagu.so
- /data/data/####/mobclick_agent_cached_com.youdao.courser5050600
- /data/data/####/msg.db-journal
- /data/data/####/multidex.version.xml
- /data/data/####/plugin.apk
- /data/data/####/qiyu_save_9e92dd37f92a04529e8352810328d088.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/unicorn#cheese#
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/yddevice.xml
- /data/media/####/-13109721661663921611.0
- /data/media/####/-1917269703-1548857278.0
- /data/media/####/-1917269703-1974645870.0
- /data/media/####/-2128620616-1945124750.0
- /data/media/####/-30575479-1266916689.0
- /data/media/####/-690797028-749764444.0
- /data/media/####/-888270340-801043278.0
- /data/media/####/-981122304-2110681168.0
- /data/media/####/.nomedia
- /data/media/####/1056933985-789144631.0
- /data/media/####/1348698230833663852.0
- /data/media/####/1771400056-1867156999.0
- /data/media/####/1968873368-1103717096.0
- /data/media/####/263642177695350145.0
- /data/media/####/572717744-741598003.0
- /data/media/####/587508780-1778707785.0
- /data/media/####/6192245491459821533.0
- /data/media/####/939874005-200337767.0
- /data/media/####/953751606-1085888745.0
- /data/media/####/bG9jYWxfaXAuZGF0
- /data/media/####/cmVnaXN0ZXJfZG9tYWluLmRhdA==
- /data/media/####/journal.tmp
- /data/media/####/nim_sdk.log
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
Загружает динамические библиотеки:
- libjiagu
Использует следующие алгоритмы для шифрования данных:
- AES-ECB-NoPadding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-ECB-NoPadding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации о настроках APN.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
