Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Xiny.1513
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) 1####.55.32.149:80
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) gdv.a.s####.com:80
Запросы DNS:
- a####.u####.com
- pv.s####.com
Запросы HTTP GET:
- gdv.a.s####.com/cityjson?ie=####
Запросы HTTP POST:
- a####.u####.com/app_logs
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/01.csb
- /data/data/####/010.csb
- /data/data/####/011.csb
- /data/data/####/012.csb
- /data/data/####/013.csb
- /data/data/####/014.csb
- /data/data/####/015.csb
- /data/data/####/016.csb
- /data/data/####/017.csb
- /data/data/####/018.csb
- /data/data/####/019.csb
- /data/data/####/01fengmian.csb
- /data/data/####/02.csb
- /data/data/####/020.csb
- /data/data/####/021.csb
- /data/data/####/022.csb
- /data/data/####/023.csb
- /data/data/####/024.csb
- /data/data/####/025.csb
- /data/data/####/026.csb
- /data/data/####/027.csb
- /data/data/####/028.csb
- /data/data/####/029.csb
- /data/data/####/02zhuuijiemian.csb
- /data/data/####/03.csb
- /data/data/####/030.csb
- /data/data/####/031.csb
- /data/data/####/032.csb
- /data/data/####/033.csb
- /data/data/####/034.csb
- /data/data/####/035.csb
- /data/data/####/036.csb
- /data/data/####/037.csb
- /data/data/####/038.csb
- /data/data/####/039.csb
- /data/data/####/03renwujiemian.csb
- /data/data/####/04.csb
- /data/data/####/040.csb
- /data/data/####/041.csb
- /data/data/####/042.csb
- /data/data/####/043.csb
- /data/data/####/044.csb
- /data/data/####/045.csb
- /data/data/####/046.csb
- /data/data/####/047.csb
- /data/data/####/048.csb
- /data/data/####/049.csb
- /data/data/####/04shangcheng.csb
- /data/data/####/05.csb
- /data/data/####/050.csb
- /data/data/####/05xuanguan.csb
- /data/data/####/06.csb
- /data/data/####/06youxi.csb
- /data/data/####/07.csb
- /data/data/####/07fuhuo.csb
- /data/data/####/08.csb
- /data/data/####/08youxisiwang.csb
- /data/data/####/09.csb
- /data/data/####/09youxishengli.csb
- /data/data/####/1.mp3
- /data/data/####/10.csb
- /data/data/####/10zanting.csb
- /data/data/####/11.csb
- /data/data/####/15y.png
- /data/data/####/15yuan.png
- /data/data/####/2.mp3
- /data/data/####/20y.png
- /data/data/####/20yuan.png
- /data/data/####/3.mp3
- /data/data/####/33.png
- /data/data/####/34.png
- /data/data/####/4.mp3
- /data/data/####/5.mp3
- /data/data/####/8y.png
- /data/data/####/8yuan.png
- /data/data/####/Button_Disable.png
- /data/data/####/Button_Normal.png
- /data/data/####/INSTALLATION
- /data/data/####/ImageFile.png
- /data/data/####/Marker Felt.ttf
- /data/data/####/NewParticle11_1.plist
- /data/data/####/NewParticle8_1.plist
- /data/data/####/SliderNode_Disable.png
- /data/data/####/Sprite.png
- /data/data/####/anniu.mp3
- /data/data/####/anniu.wav
- /data/data/####/another
- /data/data/####/anotheren
- /data/data/####/arial.ttf
- /data/data/####/bg.png
- /data/data/####/biaot.png
- /data/data/####/biaotk.png
- /data/data/####/bj.csb
- /data/data/####/bj.png
- /data/data/####/bjjs.png
- /data/data/####/bk.png
- /data/data/####/btk.png
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/ch1.png
- /data/data/####/ch10.png
- /data/data/####/ch11.png
- /data/data/####/ch12.png
- /data/data/####/ch2.png
- /data/data/####/ch3.png
- /data/data/####/ch4.png
- /data/data/####/ch5.png
- /data/data/####/ch6.png
- /data/data/####/ch7.png
- /data/data/####/ch8.png
- /data/data/####/ch9.png
- /data/data/####/cha.png
- /data/data/####/cha2.png
- /data/data/####/cheng.png
- /data/data/####/chengde.png
- /data/data/####/chongk.png
- /data/data/####/ck.png
- /data/data/####/d1.png
- /data/data/####/d2.png
- /data/data/####/d3.png
- /data/data/####/diamonds.ExportJson
- /data/data/####/diamonds0.plist
- /data/data/####/diamonds0.png
- /data/data/####/diamonds3.ExportJson
- /data/data/####/diamonds30.plist
- /data/data/####/diamonds30.png
- /data/data/####/dianji.png
- /data/data/####/dinaji.png
- /data/data/####/dj.ExportJson
- /data/data/####/dj.png
- /data/data/####/dj0.plist
- /data/data/####/dj0.png
- /data/data/####/dk.png
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/explode.ExportJson
- /data/data/####/explode0.plist
- /data/data/####/explode0.png
- /data/data/####/fanh.png
- /data/data/####/fanhui.png
- /data/data/####/fbgdf.png
- /data/data/####/fengmian.png
- /data/data/####/fh.png
- /data/data/####/fha.png
- /data/data/####/fht.png
- /data/data/####/fhuo.png
- /data/data/####/fm.png
- /data/data/####/fq.png
- /data/data/####/gk_1.png
- /data/data/####/gk_2.png
- /data/data/####/gk_3.png
- /data/data/####/gk_4.png
- /data/data/####/gk_5.png
- /data/data/####/gk_6.png
- /data/data/####/gk_7.png
- /data/data/####/gk_8.png
- /data/data/####/gk_9.png
- /data/data/####/goum.png
- /data/data/####/guanb.png
- /data/data/####/guanbi.png
- /data/data/####/guang.ExportJson
- /data/data/####/guang.png
- /data/data/####/guang0.plist
- /data/data/####/guang0.png
- /data/data/####/guang2.png
- /data/data/####/guang3.png
- /data/data/####/guanka.png
- /data/data/####/guanqia.png
- /data/data/####/guanqia1.png
- /data/data/####/hrmb.png
- /data/data/####/hx.png
- /data/data/####/jb.png
- /data/data/####/jbk.png
- /data/data/####/jbx.png
- /data/data/####/jd1.png
- /data/data/####/jd2.png
- /data/data/####/jd3.png
- /data/data/####/jd5.png
- /data/data/####/jia.png
- /data/data/####/jiahao.png
- /data/data/####/jiangli.png
- /data/data/####/jingqingqidai.png
- /data/data/####/jixu.png
- /data/data/####/jl.png
- /data/data/####/jll.png
- /data/data/####/jqqd.png
- /data/data/####/jssz.png
- /data/data/####/jx.png
- /data/data/####/k.png
- /data/data/####/k0.png
- /data/data/####/k1.png
- /data/data/####/k10.png
- /data/data/####/k100.png
- /data/data/####/k103.png
- /data/data/####/k104.png
- /data/data/####/k105.png
- /data/data/####/k106.png
- /data/data/####/k107.png
- /data/data/####/k109.png
- /data/data/####/k110.png
- /data/data/####/k113.png
- /data/data/####/k114.png
- /data/data/####/k115.png
- /data/data/####/k116.png
- /data/data/####/k12.png
- /data/data/####/k123.png
- /data/data/####/k124.png
- /data/data/####/k125.png
- /data/data/####/k13.png
- /data/data/####/k14.png
- /data/data/####/k15.png
- /data/data/####/k16.png
- /data/data/####/k18.png
- /data/data/####/k19.png
- /data/data/####/k2.png
- /data/data/####/k21.png
- /data/data/####/k22.png
- /data/data/####/k24.png
- /data/data/####/k25.png
- /data/data/####/k26.png
- /data/data/####/k3.png
- /data/data/####/k31.png
- /data/data/####/k40.png
- /data/data/####/k41.png
- /data/data/####/k42.png
- /data/data/####/k43.png
- /data/data/####/k44.png
- /data/data/####/k45.png
- /data/data/####/k46.png
- /data/data/####/k47.png
- /data/data/####/k48.png
- /data/data/####/k51.png
- /data/data/####/k52.png
- /data/data/####/k53.png
- /data/data/####/k54.png
- /data/data/####/k56.png
- /data/data/####/k60.png
- /data/data/####/k61.png
- /data/data/####/k62.png
- /data/data/####/k63.png
- /data/data/####/k64.png
- /data/data/####/k65.png
- /data/data/####/k66.png
- /data/data/####/k67.png
- /data/data/####/k68.png
- /data/data/####/k69.png
- /data/data/####/k70.png
- /data/data/####/k71.png
- /data/data/####/k72.png
- /data/data/####/k73.png
- /data/data/####/k74.png
- /data/data/####/k76.png
- /data/data/####/k77.png
- /data/data/####/k78.png
- /data/data/####/k81.png
- /data/data/####/k82.png
- /data/data/####/k83.png
- /data/data/####/k84.png
- /data/data/####/k85.png
- /data/data/####/k86.png
- /data/data/####/k90.png
- /data/data/####/k91.png
- /data/data/####/k97.png
- /data/data/####/k98.png
- /data/data/####/k99.png
- /data/data/####/k991.png
- /data/data/####/k992.png
- /data/data/####/k993.png
- /data/data/####/k994.png
- /data/data/####/k995.png
- /data/data/####/k996.png
- /data/data/####/k997.png
- /data/data/####/k999.png
- /data/data/####/kaishi.ExportJson
- /data/data/####/kaishi.png
- /data/data/####/kaishi0.plist
- /data/data/####/kaishi0.png
- /data/data/####/key
- /data/data/####/kf.png
- /data/data/####/kk.png
- /data/data/####/ksn.png
- /data/data/####/ksy.png
- /data/data/####/kuang.png
- /data/data/####/kuang1.png
- /data/data/####/level.png
- /data/data/####/lib1.png
- /data/data/####/lib2.png
- /data/data/####/lib3.png
- /data/data/####/lib4.png
- /data/data/####/lib5.png
- /data/data/####/lib6.png
- /data/data/####/lib7.png
- /data/data/####/libao1.csb
- /data/data/####/libao2.csb
- /data/data/####/libao3.csb
- /data/data/####/libao4.csb
- /data/data/####/libao5.csb
- /data/data/####/libao6.csb
- /data/data/####/libao7.csb
- /data/data/####/libjiagu.so
- /data/data/####/lingq.png
- /data/data/####/lingqu.png
- /data/data/####/lizi.plist
- /data/data/####/lq_rw.png
- /data/data/####/lrmb.png
- /data/data/####/lvs.png
- /data/data/####/lzuan.png
- /data/data/####/play.png
- /data/data/####/qian_zong.png
- /data/data/####/qianw.png
- /data/data/####/qihoo_jiagu_crash_report.xml
- /data/data/####/qued.png
- /data/data/####/queding.png
- /data/data/####/qw_g.png
- /data/data/####/qw_k.png
- /data/data/####/r1.png
- /data/data/####/r2.png
- /data/data/####/r3.png
- /data/data/####/r4.png
- /data/data/####/re2.png
- /data/data/####/renwu.png
- /data/data/####/rmb.png
- /data/data/####/rtherth.png
- /data/data/####/rw.png
- /data/data/####/rw1.png
- /data/data/####/rw3.png
- /data/data/####/rw4.png
- /data/data/####/rw_1.png
- /data/data/####/rw_2.png
- /data/data/####/rw_3.png
- /data/data/####/rw_4.png
- /data/data/####/rw_d.png
- /data/data/####/rwdk.png
- /data/data/####/rwk.png
- /data/data/####/san.png
- /data/data/####/sb.png
- /data/data/####/sc_d.png
- /data/data/####/sct.png
- /data/data/####/shangcheng.png
- /data/data/####/shangdain.png
- /data/data/####/shengli.png
- /data/data/####/shense.csb
- /data/data/####/shibai.mp3
- /data/data/####/shibai.png
- /data/data/####/shuxian.png
- /data/data/####/sk.png
- /data/data/####/streakImg.png
- /data/data/####/suilie.mp3
- /data/data/####/suoding.png
- /data/data/####/sx.png
- /data/data/####/sz.png
- /data/data/####/sz1.png
- /data/data/####/sz2.png
- /data/data/####/sz4.png
- /data/data/####/szrmb.png
- /data/data/####/t1.png
- /data/data/####/t10.png
- /data/data/####/t11.png
- /data/data/####/t12.png
- /data/data/####/t13.png
- /data/data/####/t14.png
- /data/data/####/t15.png
- /data/data/####/t16.png
- /data/data/####/t17.png
- /data/data/####/t18.png
- /data/data/####/t19.png
- /data/data/####/t2.png
- /data/data/####/t20.png
- /data/data/####/t3.png
- /data/data/####/t4.png
- /data/data/####/t5.png
- /data/data/####/t6.png
- /data/data/####/t7.png
- /data/data/####/t8.png
- /data/data/####/t9.png
- /data/data/####/task.png
- /data/data/####/tc.png
- /data/data/####/tl.png
- /data/data/####/tllb.png
- /data/data/####/tongguan1.ExportJson
- /data/data/####/tongguan10.plist
- /data/data/####/tongguan10.png
- /data/data/####/ttt.png
- /data/data/####/tttt.png
- /data/data/####/ttttt.png
- /data/data/####/tuic.png
- /data/data/####/tuichu.png
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/ui3.png
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/w1.png
- /data/data/####/w10.png
- /data/data/####/w11.png
- /data/data/####/w2.png
- /data/data/####/w3.png
- /data/data/####/w4.png
- /data/data/####/w7.png
- /data/data/####/w8.png
- /data/data/####/w9.png
- /data/data/####/weib.png
- /data/data/####/weijis.png
- /data/data/####/weiwanc.png
- /data/data/####/weixuanzhong.png
- /data/data/####/wnlb.png
- /data/data/####/xg_d.png
- /data/data/####/xiayg.png
- /data/data/####/xiayig.png
- /data/data/####/xing.ExportJson
- /data/data/####/xing.png
- /data/data/####/xing0.plist
- /data/data/####/xing0.png
- /data/data/####/xing1.png
- /data/data/####/xing2.png
- /data/data/####/xingxing.ExportJson
- /data/data/####/xingxing0.plist
- /data/data/####/xingxing0.png
- /data/data/####/xinji.mp3
- /data/data/####/xuanguan.png
- /data/data/####/xuanze.png
- /data/data/####/xuanzhong.png
- /data/data/####/xuehua_1.plist
- /data/data/####/yg.png
- /data/data/####/yiwanc.png
- /data/data/####/yk.png
- /data/data/####/yun.ExportJson
- /data/data/####/yun.png
- /data/data/####/yun0.plist
- /data/data/####/yun0.png
- /data/data/####/yxks.png
- /data/data/####/yxzt.png
- /data/data/####/z1j.csb
- /data/data/####/z2.csb
- /data/data/####/z22.csb
- /data/data/####/z4j.csb
- /data/data/####/z5.csb
- /data/data/####/zanting.png
- /data/data/####/zhongdian.png
- /data/data/####/zhujue.ExportJson
- /data/data/####/zhujue.png
- /data/data/####/zhujue0.plist
- /data/data/####/zhujue0.png
- /data/data/####/zhujued.ExportJson
- /data/data/####/zhujued0.plist
- /data/data/####/zhujued0.png
- /data/data/####/zis.png
- /data/data/####/zjzx.ExportJson
- /data/data/####/zjzx0.plist
- /data/data/####/zjzx0.png
- /data/data/####/zntjm.png
- /data/data/####/zs.png
- /data/data/####/zty.png
- /data/data/####/zuan.png
- /data/data/####/zuijia.png
- /data/data/####/zzz.png
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
Загружает динамические библиотеки:
- game
- libgame
- libjiagu
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS7Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS7Padding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из смс сообщений.
Осуществляет доступ к информации об отправленых/принятых смс.
