Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Backdoor.613.origin
- Android.Xiny.1513
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) 1####.55.93.104:9004
- TCP(HTTP/1.1) v####.api.eeric####.com:80
- TCP(HTTP/1.1) www.3####.com:8081
- TCP(HTTP/1.1) i####.api.zhifa####.net:10201
- TCP(HTTP/1.1) i####.api.zhifa####.net:10001
- TCP(HTTP/1.1) wn.qiazhiw####.cn.####.net:80
- TCP(HTTP/1.1) gdv.a.s####.com:80
Запросы DNS:
- i####.api.zhifa####.net
- i####.api.zhifa####.net
- pv.s####.com
- sdk.api.zhifa####.net
- v####.api.eeric####.com
- wn.qiazhiw####.cn
- www.3####.com
Запросы HTTP GET:
- gdv.a.s####.com/cityjson?ie=####
- wn.qiazhiw####.cn.####.net/update/up01036465_66
Запросы HTTP POST:
- i####.api.zhifa####.net:10001/v2/adconfig/get?app_id=####&t=####
- i####.api.zhifa####.net:10001/v2/bag/monitor?app_id=####&t=####
- i####.api.zhifa####.net:10001/v2/sdk/init?app_id=####&t=####
- i####.api.zhifa####.net:10001/v2/update/check?app_id=####&t=####
- i####.api.zhifa####.net:10201/v2/sdk/report?app_id=####&t=####
- v####.api.eeric####.com/api/payment/mobileInit.html
- v####.api.eeric####.com/api/payment/updateinit_v2
- www.3####.com:8081/e/mmc
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/config50120.xml
- /data/data/####/iXa.gNwiVdv.lOCf.xml
- /data/data/####/iXa.gNwiVdv.lOCf_preferences.xml
- /data/data/####/libjiagu734121057.so
- /data/data/####/new_md.jar
- /data/data/####/onib_clz.jar
- /data/data/####/pay_plg.jar
- /data/data/####/qihoo_jiagu_crash_report.xml
- /data/data/####/shunpay_config
- /data/data/####/umeng_general_config.xml
- /data/data/####/up01036465_66
- /data/data/####/up01036465_66.jar
- /data/media/####/iXa.gNwiVdv.lOCf_250026699187743_20180805_pay.log
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu734121057.so
Загружает динамические библиотеки:
- gdx
- libjiagu734121057
- shunpay
Использует следующие алгоритмы для шифрования данных:
- DES
- DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES
- DES
- DES-CBC-PKCS5Padding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об отправленых/принятых смс.
