Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.2083
- Android.DownLoader.546.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) m####.d####.com:80
- TCP(HTTP/1.1) oss-st####.d####.com:80
- TCP(HTTP/1.1) www.d####.com:80
- TCP(HTTP/1.1) loc.map.b####.com:80
- TCP(HTTP/1.1) thi####.q####.cn:80
- TCP(TLS/1.0) ssl.gst####.com:443
- TCP(TLS/1.0) www.go####.com:443
- TCP(TLS/1.0) www.gst####.com:443
- TCP(TLS/1.0) adser####.go####.com:443
Запросы DNS:
- a####.u####.com
- adser####.go####.com
- loc.map.b####.com
- m####.d####.com
- oss-st####.d####.com
- ssl.gst####.com
- thi####.q####.cn
- www.d####.com
- www.go####.com
- www.gst####.com
Запросы HTTP GET:
- m####.d####.com/@/admin/appbird/59b25d7311330.jpg
- m####.d####.com/@/admin/appbird/5ab0cfaaae355.png
- m####.d####.com/@/admin/appbird/5acc144226d17.jpg
- m####.d####.com/@/admin/channel/57a0527118216.jpg
- m####.d####.com/@/admin/channel/57a1aefd588f7.jpg
- m####.d####.com/@/admin/channel/57a2f54416526.jpg
- m####.d####.com/@/admin/channel/57a8290b0e404.jpg
- m####.d####.com/@/admin/channel/57b19314d0583.jpg
- m####.d####.com/@/admin/channel/57be9dc53a586.jpg
- m####.d####.com/@/admin/channel/57ff42a51be23.jpg
- m####.d####.com/@/admin/channel/583fda55e889f.png
- m####.d####.com/@/admin/channel/583fdff7d6ae9.jpg
- m####.d####.com/@/admin/channel/58e5a45e4b4c9.jpg
- m####.d####.com/avatar/user_avatar/56b793f20f2db5a45f882d5d1f3c48d0.jpg
- m####.d####.com/avatar/user_avatar/5a1f84d2ef25a591bdef940b944e1da0.jpg
- m####.d####.com/avatar/user_avatar/5d3b5b688d23475730a7ae2ccf18bb5a.jpg
- m####.d####.com/avatar/user_avatar/85dc569dcf13ed1e9a9c1871e73114e5.jpg
- m####.d####.com/avatar/user_avatar/9023b38850fc0d1cbc8d4f330cd956c9.jpg
- m####.d####.com/avatar/user_avatar/9201e0d27fda4e4583354d14360d279d.jpg
- m####.d####.com/avatar/user_avatar/aada2e5824f3273d3ce4e9e803f2b9c6.jpg
- m####.d####.com/avatar/user_avatar/c4fbba4b52ac2eaeed0adac25ce5534f.jpg
- m####.d####.com/avatar/user_avatar/df172bb4db556ca4574122611c4dffb1.jpg
- m####.d####.com/avatar/user_avatar/ef106a371b3f9707a2fd5e23c1b22361.jpg
- m####.d####.com/pano6d745cb968bb7b320b549ab3df600056/thumb/500_500/panof...
- m####.d####.com/panoa14e3f90a6330e7fe37ef6af5371cb2c/thumb/500_500/panof...
- m####.d####.com/panofd8b0ce6dae33d2abea3ac2f1843fc5d/thumb/500_500/panof...
- oss-st####.d####.com/static/img/weixin_share/vtour.png?imageMo####
- thi####.q####.cn/mmopen/vi_32/DYAIOgq83eoEMSsSut9ejx6ibKEAnPgDiaEXezWuE6...
- thi####.q####.cn/mmopen/vi_32/Oicb3AtDviaiaPMib4CNx08VChM2M6OGFLiaHLcbn2...
- thi####.q####.cn/mmopen/vi_32/lR1IN2ibDS5C9T6icbYg6SiakSpVRHr3mE8QMicUIj...
Запросы HTTP POST:
- a####.u####.com/app_logs
- loc.map.b####.com/offline_loc
- loc.map.b####.com/sdk.php
- www.d####.com/api/mobile2/get_carousel
- www.d####.com/api/mobile2/get_collection_by_channel
- www.d####.com/api/mobile2/get_collection_by_identifier
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/.log.lock
- /data/data/####/.log.ls
- /data/data/####/DetuDB.db-journal
- /data/data/####/cn.jpush.android.user.profile.xml
- /data/data/####/cn.jpush.preferences.v2.xml
- /data/data/####/com.detu.etg.main.odex
- /data/data/####/com.detu.etg.main.zip
- /data/data/####/exchangeIdentity.json
- /data/data/####/firll.dat
- /data/data/####/libjiagu.so
- /data/data/####/multidex.version.xml
- /data/data/####/ofl.config
- /data/data/####/ofl_location.db
- /data/data/####/ofl_location.db-journal
- /data/data/####/ofl_statistics.db
- /data/data/####/ofl_statistics.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/media/####/-1286882685.tmp
- /data/media/####/-1376490134.tmp
- /data/media/####/-1379278516.tmp
- /data/media/####/-1384595216.tmp
- /data/media/####/-1400394126.tmp
- /data/media/####/-1476262373.tmp
- /data/media/####/-1491373730.tmp
- /data/media/####/-1569707189.tmp
- /data/media/####/-1698102581.tmp
- /data/media/####/-182735801.tmp
- /data/media/####/-1851435715.tmp
- /data/media/####/-2032450978.tmp
- /data/media/####/-2077502426.tmp
- /data/media/####/-281012460.tmp
- /data/media/####/-323321247.tmp
- /data/media/####/-361599265.tmp
- /data/media/####/-37354318.tmp
- /data/media/####/-869872948.tmp
- /data/media/####/-8860670.tmp
- /data/media/####/.cuid
- /data/media/####/1533975810.tmp
- /data/media/####/1840610541.tmp
- /data/media/####/2007172042.tmp
- /data/media/####/2014612533.tmp
- /data/media/####/399820640.tmp
- /data/media/####/50006785.tmp
- /data/media/####/510772644.tmp
- /data/media/####/709804131.tmp
- /data/media/####/744471003.tmp
- /data/media/####/91486944.tmp
- /data/media/####/975985340.tmp
- /data/media/####/conlts.dat
- /data/media/####/ller.dat
- /data/media/####/ls.db
- /data/media/####/ls.db-journal
- /data/media/####/test.0
- /data/media/####/yoh.dat
- /data/media/####/yol.dat
- /data/media/####/yom.dat
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
Загружает динамические библиотеки:
- jpush210
- libjiagu
- locSDK6a
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-ECB-PKCS5Padding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
