Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.3394
- Android.DownLoader.635.origin
Загружает из Интернета следующие детектируемые угрозы:
- Android.DownLoader.635.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) play-v####.43####.com:80
- TCP(HTTP/1.1) vod.43####.com:80
- TCP(HTTP/1.1) a.appj####.com:80
- TCP(HTTP/1.1) downloa####.pan####.net:80
- TCP(HTTP/1.1) upload-####.43####.com:80
- TCP(HTTP/1.1) www.s####.net:80
Запросы DNS:
- a####.u####.com
- a.appj####.com
- downloa####.pan####.net
- play-v####.43####.com
- upload-####.43####.com
- vod.43####.com
- www.s####.net
Запросы HTTP GET:
- downloa####.pan####.net/resource/tempapp/softTest.apk
- play-v####.43####.com/upload/image/2017/07/091590bb953bbdcb5653185c4ba6a...
- play-v####.43####.com/upload/image/2017/07/d350861947b884b9895e5982dfb96...
- play-v####.43####.com/upload/image/2017/08/16054af23f81dee033185db57ccff...
- play-v####.43####.com/upload/image/2017/08/20faea360d4b52d08e913967804ff...
- play-v####.43####.com/upload/image/2017/08/2c2213c89f6800e52466c0666d35d...
- play-v####.43####.com/upload/image/2017/08/4991f4603b0c405da5e5e189aabd6...
- play-v####.43####.com/upload/image/2017/08/4b88ebfe107ad82612995d88de7aa...
- play-v####.43####.com/upload/image/2017/08/4cb082371adb3556ac9b14bc8f31b...
- play-v####.43####.com/upload/image/2017/08/5d69cde62f7b710790d552df6a109...
- play-v####.43####.com/upload/image/2017/08/621bb522f86627cfcb85315b4ed3e...
- play-v####.43####.com/upload/image/2017/08/789e10a87ea0a5b38b24ccf5d80af...
- play-v####.43####.com/upload/image/2017/08/951202ffaf354474697145e87606d...
- play-v####.43####.com/upload/image/2017/08/a14ca95cc1933dcc7d8fe65e46b70...
- play-v####.43####.com/upload/image/2017/08/aa1d691867d5d7aa63f36602e936c...
- play-v####.43####.com/upload/image/2017/08/be29921163086949aafee2c57477a...
- play-v####.43####.com/upload/image/2017/08/ece8c027b344f9da28dc3234ff145...
- play-v####.43####.com/upload/image/2017/09/0179a359d21e6e924e055d51ef917...
- play-v####.43####.com/upload/image/2017/09/3d7807e1659219741b9769c5be52d...
- play-v####.43####.com/upload/image/2017/09/48a115ab7ffac8354d70e305f2b0c...
- play-v####.43####.com/upload/image/2017/09/4cc44bfc27b09a7dc323be1670de6...
- play-v####.43####.com/upload/image/2017/09/7331a8b7b0d7048f51fadec7867fb...
- play-v####.43####.com/upload/image/2017/09/924c97080b93e9cdcd56afe4eda87...
- play-v####.43####.com/upload/image/2017/09/d8c2b4061fef6186ba4075d30200d...
- play-v####.43####.com/upload/image/2017/09/e2bffd3ab25da57e72e5edbb1ac8e...
- play-v####.43####.com/upload/image/2017/09/eabf0540ec2a2bd958457d87a6751...
- play-v####.43####.com/upload/image/2017/10/f777c5c9a9e93fd461eb42ce80620...
- play-v####.43####.com/upload/image/2017/12/61082b79eca20f3328c43297a6dca...
- play-v####.43####.com/upload/image/2018/03/02b44c3fe5704aca8273544e2572a...
- play-v####.43####.com/upload/mp4/2017/09/pic/15047468735072.jpg
- play-v####.43####.com/upload/mp4/2017/09/pic/150496127387.jpg
- play-v####.43####.com/upload/mp4/2017/09/pic/15050955256750.jpg
- play-v####.43####.com/upload/mp4/2017/09/pic/15050971118340.jpg
- play-v####.43####.com/upload/mp4/2017/09/pic/150547557829.jpg
- play-v####.43####.com/upload/mp4/2017/09/pic/150677235738.jpg
- play-v####.43####.com/upload/mp4/2017/10/pic/150771620596.jpg
- play-v####.43####.com/upload/mp4/2017/10/pic/15077301581.jpg
- upload-####.43####.com/app/patch
- upload-####.43####.com/app/upgradepolicy?t=1531037130731?
- vod.43####.com/service/banner/getAllBanners
- vod.43####.com/service/video/getGameVideos?game_id=####&from=####&count=...
- vod.43####.com/service/video/getRecomVideos?recom_id=####&from=####&coun...
- vod.43####.com/service/video/getSquareGames
Запросы HTTP POST:
- a####.u####.com/app_logs
- a.appj####.com/ad-service/ad/mark
- www.s####.net/Mini/niouy.action?key=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/-ynuTb0uLNdNQWvtBb01WMeFgv8.-1125133004.tmp
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/.log.lock
- /data/data/####/.log.ls
- /data/data/####/1SS4psb_4C2PKzHpr40M8KqNbYc.1376848698.tmp
- /data/data/####/1hBsQYV9kK6EJkWhi3v2EkTW0k8.-1273695605.tmp
- /data/data/####/2ezQqE7EHE-rF4_JqcQZG-VWT_g.-758964339.tmp
- /data/data/####/42KwONuGRWKGMbqYhcYZIHr9qxA.-84080963.tmp
- /data/data/####/5HHJMAk7ZcOsgvNPKn2xEYNM-Gw.1265747276.tmp
- /data/data/####/5ftBrZsUgYKD3KnPXK0VMZgeaI0.-2106773007.tmp
- /data/data/####/72xUqZJ24KWBGt7NL4_Rg9Xf0_4.-2088883654.tmp
- /data/data/####/7s4A6fRIUG3BuM7PeqTgrMkN5V4.-94837300.tmp
- /data/data/####/9g--vu2M2kKPklJK-ulY8T76T_I.52352468.tmp
- /data/data/####/DBEHt0zxkVL3_huGcazKkHUKkjY.-208176111.tmp
- /data/data/####/DOxAGuKyPdwFEH8Wp6wYOoXeBMw.-982747992.tmp
- /data/data/####/F3fHuxSW5EOMHbv5mHDSmHW20Hg.-383226151.tmp
- /data/data/####/KMgmRltUFxEHRWyVV3TFcL9uK9Y.230938658.tmp
- /data/data/####/MKXyVTi6HN6EgW81Kt_V-bM4W_8.311649615.tmp
- /data/data/####/MblESpzMf4f1dH74ZcCuXw8wpDE.1004030609.tmp
- /data/data/####/OSTjDZDHVgswA8gAQyWpN3g_EPA.-1519135180.tmp
- /data/data/####/SzSjRoaFqakqOztEUu1jp8n90aQ.-892623520.tmp
- /data/data/####/UrCvz4jkaKllEnP7oavjV0YTJ4Q.1673365682.tmp
- /data/data/####/VlzPxIqDmkqAPjmJjrKfG1QWN2E.1120036452.tmp
- /data/data/####/VryyOHNLdwjaXepwwIJvFYjJHZg.1247282956.tmp
- /data/data/####/YiP9Ea0tXMMC8qYYXC1JLmaP8ts.-925733808.tmp
- /data/data/####/ZbtgZRTRLtDW3IdJhhpx1SQ-H5o.1275657759.tmp
- /data/data/####/_2opODr9gatxxt9t8XV-ISyoGeM.-874500640.tmp
- /data/data/####/_tVh3i-4Smul6JpZcU6qFA2xzeo.-865139966.tmp
- /data/data/####/bPzBBF96zwPzEEut4MZxLhFsvsI.54188129.tmp
- /data/data/####/cNTIV8OGFDr1Zd5GWyWYBJMXjSY.-2055624927.tmp
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/com.ssjj.pvrx.recorder.apk
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/jeojTR-uqN2oRurZvWBk_cUbbo4.1146940191.tmp
- /data/data/####/jg_app_update_settings_random.xml
- /data/data/####/jtf_tErgqsTY01neSXpXIlwnkWE.131046948.tmp
- /data/data/####/libjiagu.so
- /data/data/####/nBPVVAKJKZBor8VqP0I0dZG5tts.-1990642535.tmp
- /data/data/####/nRdypGOsw3IerckEog4Z5QdPJ9c.-1370186854.tmp
- /data/data/####/pt_game_config.xml
- /data/data/####/qIbqAySbvDqJeY4WR9_8aj2ScwM.-1727723954.tmp
- /data/data/####/rxHyPJzDuZJDjx422ONguE-WTBM.-182707985.tmp
- /data/data/####/uLm_DBWqb8GBNXcJfm9WTKeZjU8.638352211.tmp
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/w7PWWCga2ZtADWg8kiqKy4STLgU.355909957.tmp
- /data/data/####/y7Gft4Qqtq6TdH05midmX7Mz7bo.-1787275651.tmp
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
Загружает динамические библиотеки:
- bitmaps
- gifimage
- libjiagu
- memchunk
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS7Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS5Padding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Отрисовывает собственные окна поверх других приложений.
