Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Backdoor.657.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a.e####.cn:80
- TCP(HTTP/1.1) wn.pos.b####.com:80
- TCP(HTTP/1.1) c####.360.cn:80
- TCP(HTTP/1.1) u####.bfsspad####.8l####.com:80
- TCP(HTTP/1.1) ap####.adi####.com:80
- TCP(HTTP/1.1) c.appj####.com:80
- TCP(HTTP/1.1) dpa.helianh####.com:80
- TCP(HTTP/1.1) w####.x.jd.com:80
- TCP(HTTP/1.1) pic.e####.cn:80
- TCP(HTTP/1.1) adalli####.zmen####.com:80
- TCP(HTTP/1.1) cm.adi####.com:80
- TCP(HTTP/1.1) ecook-e####.b0.a####.com:80
- TCP(HTTP/1.1) rcv.a####.com:80
- TCP(HTTP/1.1) api.e####.cn:80
- TCP(HTTP/1.1) 1####.26.247.23:80
- TCP(HTTP/1.1) i####.jd.com:80
- TCP(HTTP/1.1) rtb.m####.net:80
- TCP(HTTP/1.1) 47.97.2####.214:80
- TCP(HTTP/1.1) api.map.b####.com:80
- TCP(TLS/1.0) sh.wagbr####.alibaba####.com:443
- TCP(TLS/1.0) api.e####.cn:443
Запросы DNS:
- a.e####.cn
- adalli####.zmen####.com
- ap####.adi####.com
- api.e####.cn
- api.map.b####.com
- c####.360.cn
- c.appj####.com
- cm.adi####.com
- dpa.helianh####.com
- e####.e####.cn
- i####.jd.com
- pic.e####.cn
- plb####.u####.com
- rcv.a####.com
- rtb.m####.net
- u####.bfsspad####.8l####.com
- u####.u####.com
- w####.x.jd.com
- wn.pos.b####.com
Запросы HTTP GET:
- a.e####.cn/public/getClickUrlList.shtml?lng=####&sd=####&screenheight=##...
- a.e####.cn/public/getClickUrlPoList.shtml?lng=####&sd=####&screenheight=...
- a.e####.cn/public/getCommonBannerAd.shtml?height=####&width=####&lng=###...
- a.e####.cn/public/getCommonInformationAd.shtml?height=####&width=####&ln...
- a.e####.cn/public/getCommonStartUpAd.shtml?height=####&width=####&lng=##...
- a.e####.cn/public/isDebugAd.shtml?ts=####&appid=####&sign=####
- a.e####.cn/public/rab.shtml?id=####&network=####&machine=####
- a.e####.cn/public/showUrlVisit.shtml?os=####&osversion=####&appversion=#...
- adalli####.zmen####.com/zmtmobads/v1/impl.do?param=####
- ap####.adi####.com/tj?key=####&rd=####&req=####&token=####
- ap####.adi####.com/tj?key=####&rd=####&req=YWR####&token=####
- api.e####.cn/public/getSecondaryHomeData.shtml?machine=####&version=####...
- cm.adi####.com/?t=####&d=####&k=####&rd=####&c=####&code=####&pcode=####...
- dpa.helianh####.com/webapi/apply/ope/1?uid=####&adid=####&adclass=####&a...
- ecook-e####.b0.a####.com/file/ecook.apk
- i####.jd.com/dsp/np?log=####&v=####&seq=####
- pic.e####.cn/web/1164414.jpg!m3
- pic.e####.cn/web/11998013.jpg!s2
- pic.e####.cn/web/13967155.jpg!s4
- pic.e####.cn/web/14461179.jpg!m3
- pic.e####.cn/web/14539420.jpg!s1
- pic.e####.cn/web/15672121.jpg!m3
- pic.e####.cn/web/15710290.jpg!m3
- pic.e####.cn/web/223655275.jpg!m3
- pic.e####.cn/web/224034797.jpg!m3
- pic.e####.cn/web/227448148.jpg!m720
- pic.e####.cn/web/234226951.jpg!s1
- pic.e####.cn/web/235393383.jpg!m3
- pic.e####.cn/web/242589473.jpg!m3
- pic.e####.cn/web/244516586.jpg!m3
- pic.e####.cn/web/244629571.jpg!m3
- pic.e####.cn/web/245688924.jpg!m3
- pic.e####.cn/web/247308215.jpg!s4
- pic.e####.cn/web/247315088.jpg!m3
- pic.e####.cn/web/247445224.jpg!m3
- pic.e####.cn/web/253370522.jpg!m3
- pic.e####.cn/web/253450708.jpg!m3
- pic.e####.cn/web/255350107.jpg!s4
- pic.e####.cn/web/255900183.jpg!m720
- pic.e####.cn/web/256192124.jpg!s4
- pic.e####.cn/web/256366182.jpg!m3
- pic.e####.cn/web/256968001.jpg!s4
- pic.e####.cn/web/256973617.jpg
- pic.e####.cn/web/257009045.jpg!m3
- pic.e####.cn/web/257223950.jpg!m3
- pic.e####.cn/web/257463070.jpg!m3
- pic.e####.cn/web/257471139.jpg!s4
- pic.e####.cn/web/257498212.jpg!m3
- pic.e####.cn/web/257498236.jpg!m720
- pic.e####.cn/web/257498244.jpg!m720
- pic.e####.cn/web/257498245.jpg!m720
- pic.e####.cn/web/257498246.jpg!m720
- pic.e####.cn/web/257498251.jpg!m720
- pic.e####.cn/web/257498252.jpg!m720
- pic.e####.cn/web/257498253.jpg!m720
- pic.e####.cn/web/257498259.jpg!m720
- pic.e####.cn/web/257498260.jpg!m720
- pic.e####.cn/web/257498261.jpg!m720
- pic.e####.cn/web/257498262.jpg!m720
- pic.e####.cn/web/257612714.jpg!s4
- pic.e####.cn/web/257826853.jpg
- pic.e####.cn/web/257842554.jpg!m3
- pic.e####.cn/web/258163019.jpg!m3
- pic.e####.cn/web/258452659.jpg!m720
- pic.e####.cn/web/258485507.jpg!s1
- pic.e####.cn/web/258794635.jpg
- pic.e####.cn/web/258807042.jpg!s4
- pic.e####.cn/web/258808067.jpg!m720
- pic.e####.cn/web/258839484.jpg!s4
- pic.e####.cn/web/258885746.jpg!m3
- pic.e####.cn/web/258893635.jpg!m2
- pic.e####.cn/web/259637134.jpg!s4
- pic.e####.cn/web/259794768.jpg!s2
- pic.e####.cn/web/260145265.jpg
- pic.e####.cn/web/260324425.jpg!m720
- pic.e####.cn/web/260399945.jpg!m3
- pic.e####.cn/web/260612676.jpg!m2
- pic.e####.cn/web/2747136.jpg!m3
- pic.e####.cn/web/47950617.jpg!m3
- pic.e####.cn/web/50562690.jpg!m720
- pic.e####.cn/web/50562691.jpg!m720
- pic.e####.cn/web/50562692.jpg!m720
- pic.e####.cn/web/5389001.jpg!m3
- pic.e####.cn/web/6254097.jpg!m3
- pic.e####.cn/web/6671535.jpg!m3
- pic.e####.cn/web/7340486.jpg!s1
- rcv.a####.com/show?CAAQDw.####
- rcv.a####.com/show?CAAQJw.####
- rtb.m####.net/vw?info=CJ####&wp=####
- u####.bfsspad####.8l####.com/adShow?v=####&b=####&i=####&r=####&bid=####...
- w####.x.jd.com/adx/nurl/rgyun?price=####&v=####&ad=####&info=####
- wn.pos.b####.com/adx.php?c=####&ext=####
Запросы HTTP POST:
- api.map.b####.com/location/ip?ak=####&coor=####
- c####.360.cn/stra_packet
- c.appj####.com/ad/splash/stats.html
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/.jgrpa.xml
- /data/data/####/.log.lock
- /data/data/####/.log.rpa
- /data/data/####/AdloadStore.xml
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/Ji.xml
- /data/data/####/MessageStore.db-journal
- /data/data/####/MsgLogStore.db-journal
- /data/data/####/UM_PROBE_DATA.xml
- /data/data/####/a==7.3.1&&3.30.32_1530440191553_envelope.log
- /data/data/####/ad_show_time.xml
- /data/data/####/cn.ecook.xml
- /data/data/####/collectiondatabase
- /data/data/####/collectiondatabase-journal
- /data/data/####/d==7.3.1&&3.30.32_1530440191894_envelope.log
- /data/data/####/d==7.3.1&&3.30.32_1530440195268_envelope.log
- /data/data/####/d==7.3.1&&3.30.32_1530440206953_envelope.log
- /data/data/####/d==7.3.1&&3.30.32_1530440210085_envelope.log
- /data/data/####/d==7.3.1&&3.30.32_1530440216078_envelope.log
- /data/data/####/d==7.3.1&&3.30.32_1530440223286_envelope.log
- /data/data/####/d==7.3.1&&3.30.32_1530440226565_envelope.log
- /data/data/####/d==7.3.1&&3.30.32_1530440230923_envelope.log
- /data/data/####/d==7.3.1&&3.30.32_1530440235251_envelope.log
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/ecookdatabase
- /data/data/####/ecookdatabase-journal
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/index
- /data/data/####/info.xml
- /data/data/####/jg_app_update_settings_random.xml
- /data/data/####/jg_so_upgrade_setting.xml
- /data/data/####/libjiagu1716536324.so
- /data/data/####/lonLat.xml
- /data/data/####/material.db-journal
- /data/data/####/multidex.version.xml
- /data/data/####/recipe.db-journal
- /data/data/####/recipedatabase-journal
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/um_pri.xml
- /data/data/####/umeng_common_config.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/umeng_message_state.xml
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/13wogxpuwmv0vkrprpiofhopu.tmp
- /data/media/####/1530440198117.apk
- /data/media/####/1530440199098.apk
- /data/media/####/1dfdr8h7a63uzkxcsoyk72ca4.tmp
- /data/media/####/1gwhk782b4b7qoohlj5v2o48w.tmp
- /data/media/####/1k28gw6gct2rt8s6k2f7b65yx.tmp
- /data/media/####/1ltkqvvg8pczerweftn1oaj6u.tmp
- /data/media/####/1o8sy88lt8tintzj47cof32e7.tmp
- /data/media/####/1qmudqkcj2k0365p7ufcgxe2j.tmp
- /data/media/####/1r9s2sun65qpzndixhu2ijj0j.tmp
- /data/media/####/1rjcu0gurhwhcb681wpg2p27g.tmp
- /data/media/####/1twwtxlzxvz3k58p6pdisuvaq.tmp
- /data/media/####/1txe07zvm5h6m4vius71gqxwe.tmp
- /data/media/####/1wgiswkxs1zy2e7evo9hutqx9.tmp
- /data/media/####/1zsreq4qlfszd8isekjbg8cz7.tmp
- /data/media/####/22q023dp8f86ucdaa3hx3gsjp.tmp
- /data/media/####/2d1g79y1qg0gjk5djeenxucz5.tmp
- /data/media/####/2fjdjitrxcp087u55xjtgpphd.tmp
- /data/media/####/2fyy7h8kbc003qqpklkq3vxc4.tmp
- /data/media/####/2iapztng6q2bcay3yitmjdc6h.tmp
- /data/media/####/2jt4d1c7rxtyfhp64yayelfqs.tmp
- /data/media/####/2wtovchicpn2cszyqxy2mnc6p.tmp
- /data/media/####/3hrgwd1dxaogoiynrqzfj4xck.tmp
- /data/media/####/3jywyyjk7wua5o236iubyalx2.tmp
- /data/media/####/3kfwb0xfehrirg6iwbpwwyxwe.tmp
- /data/media/####/3lbfsgd66nejxr77naixet1k4.tmp
- /data/media/####/3psgxw5n5aobhfnvqrg0817xj.tmp
- /data/media/####/3pto2ohkcs29tg59s1cmp0vlh.tmp
- /data/media/####/3qmmmnk7m892bvhex4xnwpoy7.tmp
- /data/media/####/3uihlkqayrd8uorlkoo7nxbyd.tmp
- /data/media/####/45ajore3kubm9q4ognbixlxvx.tmp
- /data/media/####/4dipmsq6m4chv14mtl83b9ja1.tmp
- /data/media/####/4fcv21invbz8leqaqhdwq6uje.tmp
- /data/media/####/4phf87pph652kgeenxa0ajgmp.tmp
- /data/media/####/4pm736zt64k7uuqscrr5jb9bz.tmp
- /data/media/####/4rcxaxk7wxwwsc9nxdy6cpsx2.tmp
- /data/media/####/4ttp7gg98cdowjdwsx2zpzu76.tmp
- /data/media/####/4ux3qfx6sogychrpygvu5ci90.tmp
- /data/media/####/4zun1oln2cks5c80gs92k5d98.tmp
- /data/media/####/5461hbuc87ap1joedsyh95nhr.tmp
- /data/media/####/55set8b0anuqtvewalpece428.tmp
- /data/media/####/58h85tu3rnbdd7x1zik881w2o.tmp
- /data/media/####/59d3sgvdoi9t15uk3aqor66dh.tmp
- /data/media/####/59ph58lvbuzg9yx5wwbt2xf08.tmp
- /data/media/####/5dknyzdvhrdzkbtx0zg9osq3x.tmp
- /data/media/####/5em92xculfcz7fq227296w1nn.tmp
- /data/media/####/5m2yyrt5p6ntf9pplxms9m7nq
- /data/media/####/5m2yyrt5p6ntf9pplxms9m7nq.tmp
- /data/media/####/5opz3xr0hlta41iunolreklhj.tmp
- /data/media/####/5ta6u0nzu9x44ob9rymfqr9r5.tmp
- /data/media/####/60hgybj8zcfea2n8nuzldowlo.tmp
- /data/media/####/65bo77m5s4udf3teg0r67ob56.tmp
- /data/media/####/66tfmxivkv3iz77noa51lx2pp.tmp
- /data/media/####/69tdf7bdok1isaf00sa2k6ez.tmp
- /data/media/####/6ekvfefjqwlnh1l545dqj6tlf.tmp
- /data/media/####/6qlgexn07i3qspwbhheo16uil.tmp
- /data/media/####/6tes2i53bsk63yy4daxsimn3f.tmp
- /data/media/####/6tgvrnpg8vxmeq57ek3q7qqr9.tmp
- /data/media/####/6uck9c51jwsyjsw56bw4ysmc7.tmp
- /data/media/####/6vbbeywuiu5udh5mwa8yctya9.tmp
- /data/media/####/6wlu3pee4g7m2lc4ye9y5cblc.tmp
- /data/media/####/6yr3go6qp2hai2kmocz0vsg8e.tmp
- /data/media/####/71iq9fka1ief8w1y3esxdreyt.tmp
- /data/media/####/7bhd1vhd68iddm25kel02dvmu.tmp
- /data/media/####/7i9ij1daptvgzhr31t3d8fehn.tmp
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/bd1wl5th0qzm866te2wsw1df.tmp
- /data/media/####/cqax0tl5r7m3m34xhkkxlkq2.tmp
- /data/media/####/dvxlgjglovw6gsp59euxvs7k.tmp
- /data/media/####/hjm2gmxgeg54mj3iznw3ztae.tmp
- /data/media/####/ljg00eid0z8tcwtwnnttbj8c.tmp
- /data/media/####/ngzpjsf4nqhp2sbtsdzf1myd.tmp
- /data/media/####/r08m05ujv6l45a072j1wk3fl.tmp
- /data/media/####/su4d4pr4i1xo46zt0pexnk4b.tmp
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu1716536324.so
- ls /
- ls /sys/class/thermal
Загружает динамические библиотеки:
- libjiagu1716536324
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- RSA
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS7Padding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к интерфейсу камеры.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации о настроках APN.
Отрисовывает собственные окна поверх других приложений.
