Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.683.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) cdn.img.h####.top:80
- TCP(HTTP/1.1) oc.u####.com:80
- TCP(HTTP/1.1) 1####.76.224.67:80
- TCP(HTTP/1.1) cdn.app.h####.####.com:80
- TCP(HTTP/1.1) pss.al####.com:80
- TCP(TLS/1.0) pns.al####.com:443
- TCP(TLS/1.0) l####.4####.top:443
Запросы DNS:
- a####.u####.com
- cdn.app.h####.top
- cdn.img.h####.top
- l####.4####.top
- oc.u####.com
- pns.al####.com
- pss.al####.com
- www.dl####.cn
Запросы HTTP GET:
- cdn.app.h####.####.com/swenjian/319
- cdn.app.h####.####.com/swenjian/319m
- cdn.img.h####.top/upload/201806/28/img/20180628185712868.png
- cdn.img.h####.top/upload/201806/28/img/20180628185933012.png
Запросы HTTP POST:
- a####.u####.com/app_logs
- oc.u####.com/check_config_update
- pss.al####.com/iku/log/acc
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/0_filestore.db-journal
- /data/data/####/0_tencent_filestore.db-journal
- /data/data/####/79b8daa0-7d92-41c6-91d8-dbdbd7c68078.jar
- /data/data/####/GuzService.jar
- /data/data/####/GuzService.xml
- /data/data/####/KyuActivity.xml
- /data/data/####/SUBOXLOG_
- /data/data/####/a422d598-33d3-40af-a5f6-17d720cc2b68
- /data/data/####/admessage.db-journal
- /data/data/####/alldown.xml
- /data/data/####/appfoldermap.db-journal
- /data/data/####/busybox
- /data/data/####/bzwn.db-journal
- /data/data/####/database-journal
- /data/data/####/ebn.xml
- /data/data/####/favorite.db-journal
- /data/data/####/jg_so_upgrade_setting.xml
- /data/data/####/libjiagu.so
- /data/data/####/mobclick_agent_cached_com.wsfewg.ewgwrf293
- /data/data/####/mobclick_agent_online_setting_com.wsfewg.ewgwrf.xml
- /data/data/####/pcdnconfigs.xml
- /data/data/####/public_settings.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/video.conf
- /data/data/####/video_impl_dex.jar
- /data/media/####/17d22c61d12928063a91c45767cee2c4
- /data/media/####/1869b91ee4661279770af05f6d23421d
- /data/media/####/18fcd2820b2653bc07428c9af9167d34
- /data/media/####/1a356fc703c38df6bcec60c943592264
- /data/media/####/1fddd40cf9b4ee3502677452a14dbeaa
- /data/media/####/21903a4a97d49cf2c853dcbcc950bc3c
- /data/media/####/22bab371be919307f26e6eb42f84eb5a
- /data/media/####/23597455b58983819120728a5e7d6e15
- /data/media/####/261a709476eb4e5638277c63c957853c
- /data/media/####/274ceace393991976b8e1765659788fd
- /data/media/####/27805e5ddc52f6bb52290a12855e704f
- /data/media/####/2beb78d1b588bb88d35a8943fc21c110
- /data/media/####/3b1a6134c40b021e3596efc19ce1cca8
- /data/media/####/3e5c837b3f092e7c9feb98dc0d67bf96
- /data/media/####/40cfed1caee1ae9ce571c8aeb320284e
- /data/media/####/4478b5a9d80d3f47ba615508d9b4034d
- /data/media/####/4587cf8134ce811ec57e15ccdd99d658
- /data/media/####/477d4a0651884
- /data/media/####/4bfde1d22af1ffe97f4e9ae25566aa1a
- /data/media/####/5c94e91781ae4bd9bac664cf07c39911
- /data/media/####/5fc41c7a08a45961eee5d99d79be13ef
- /data/media/####/651a8f4b98a906943f1fccd61dafb0d1
- /data/media/####/6a3d99aff84c498a60aea98b0d8acc32
- /data/media/####/6f3d650daafac630ea0a792cbcc35182
- /data/media/####/81af72c933f65a7073c942472eed57db
- /data/media/####/830947fc7624fc3c3b7c7458f4df50f3
- /data/media/####/86250891b99460341e63a7709fc084dd
- /data/media/####/92c932d15692fa059ec951467d659082
- /data/media/####/9381e63385aac406c3f96e8b462c70c4
- /data/media/####/ab0c79224cde9e4e1cad9e123c7659c0
- /data/media/####/b0a107c5faf47eab56e9f8927b8b0953
- /data/media/####/b2adba4ea41eb4c135f12b75ef44bb3e
- /data/media/####/b3041f25a01edf707ed0c3151f1f4b9f
- /data/media/####/bbca99402ca67f9ebe50f39980e81a09
- /data/media/####/c232227b4e0b86c02c79d93ffbf8c04d
- /data/media/####/cebdd419b42d17013937a728f0247866
- /data/media/####/cl.tmp
- /data/media/####/d1401d6b2790374c7eb73482906f4c22
- /data/media/####/d30f39f1dbba0573348892dd5f31dbc9
- /data/media/####/d527a746cd302e56ac05d66ab0cb5a66
- /data/media/####/dca72ada5ec9eec99eae69c3f48eb083
- /data/media/####/ddcd1972da3ae574996d3f0ddebec356
- /data/media/####/e1b5f4f326194e0b442d1c731eafbc35
- /data/media/####/e5bbb46e8b6daa706f2280a28a45a630
- /data/media/####/eafb699ecbdd49251679e02c49c1c39f
- /data/media/####/f3cb198a2e77dbc8d14b1266af62ace2
- /data/media/####/f5d1a06386c94
- /data/media/####/fbc250db112a9f060c194ed3f3905f28
- /data/media/####/fbc300e4540f29f2065836fccaa613ec
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
Загружает динамические библиотеки:
- libjiagu
- linuxtools_jni
- pcdn_acc
Использует следующие алгоритмы для шифрования данных:
- AES
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
