Android.DownLoader.3786

Техническая информация

Вредоносные функции:

Загружает на исполнение код следующих детектируемых угроз:

Android.Xiny.20

Загружает из Интернета следующие детектируемые угрозы:

Android.Xiny.20

Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).

Сетевая активность:

Подключается к:

UDP(DNS) <Google DNS>
TCP(HTTP/1.1) r####.yy.com:80
TCP(HTTP/1.1) do.soi####.com:80
TCP(HTTP/1.1) api.tui####.b####.com:80
TCP(HTTP/1.1) av####.bbs.du####.com:80
TCP(HTTP/1.1) a####.du####.com:80
TCP(HTTP/1.1) www.i####.org:80
TCP(HTTP/1.1) img.dwst####.com:80
TCP(HTTP/1.1) w.j####.cc:80
TCP(HTTP/1.1) m####.h####.com:80
TCP(TLS/1.0) api.tui####.b####.com:443
TCP(TLS/1.0) statson####.pu####.b####.com:443
TCP(TLS/1.0) co####.h####.com:443
TCP(TLS/1.0) aliyuno####.oss-cn-####.aliy####.com:443
TCP sa7.tui####.b####.com:5287

Запросы DNS:

a####.du####.com
a####.tui####.b####.com
aliyuno####.oss-cn-####.aliy####.com
api.tui####.b####.com
av####.bbs.du####.com
co####.h####.com
do.soi####.com
img.dwst####.com
m####.h####.com
r####.yy.com
sa7.tui####.b####.com
statson####.pu####.b####.com
w.j####.cc
www.i####.org

Запросы HTTP GET:

a####.du####.com/index.php?r=####&app_id=####&channel_id=####&version=##...
a####.du####.com/index.php?r=####&app_id=####&url=####&version=####&p=####
a####.du####.com/index.php?r=####&app_id=####&version=####
a####.du####.com/index.php?r=####&app_id=####&version=####&version_code=...
a####.du####.com/index.php?r=####&c_type=####&app_id=####&version=####
a####.du####.com/index.php?r=####&channelId=####&app_id=####&article_id=...
a####.du####.com/index.php?r=####&channelId=####&app_id=####&version=####
a####.du####.com/index.php?r=####&platform=####&app_id=####&type=####&ch...
av####.bbs.du####.com/004/03/06/16_avatar_small.jpg
av####.bbs.du####.com/005/72/23/14_avatar_small.jpg
av####.bbs.du####.com/009/91/42/04_avatar_small.jpg
av####.bbs.du####.com/013/81/64/31_avatar_small.jpg
av####.bbs.du####.com/043/73/86/31_avatar_small.jpg
av####.bbs.du####.com/051/50/59/39_avatar_small.jpg
av####.bbs.du####.com/056/97/10/88_avatar_small.jpg
do.soi####.com/201808/wsy.jar
img.dwst####.com/ow/1801/379004998651/1515049857635.jpg
img.dwst####.com/ow/1801/380557669910/1516602515389.jpg
img.dwst####.com/ow/1802/381839344925/1517884347790.jpg
img.dwst####.com/ow/1802/382271682978/1518316580992.jpg
img.dwst####.com/ow/1802/382360318961/1518405239472.jpg
img.dwst####.com/ow/1802/382497951776/1518542822422.jpg
img.dwst####.com/ow/1802/383760456935/1519805317649.jpg
img.dwst####.com/ow/1803/385726665348/1521771643318.jpg
img.dwst####.com/ow/1803/385726665348/1521771643318.jpg.thumb.jpg
img.dwst####.com/ow/1803/385726665348/1521771658151.png
img.dwst####.com/ow/1803/385908070596/1521952922805.jpg
img.dwst####.com/ow/1803/385990672625/1522035519498.jpg
img.dwst####.com/ow/1803/386089555370/1522134427503.jpg
img.dwst####.com/ow/1803/386245706225/1522290742522.jpg
img.dwst####.com/ow/1803/386246116353/1522291010772.jpg
img.dwst####.com/ow/1804/386593677545/1522638539715.jpeg
img.dwst####.com/ow/1804/386677568448/1522722371832.jpeg
img.dwst####.com/ow/1804/387036373470/1523081215272.png
img.dwst####.com/ow/1804/387107474698/1523152433406.jpg
img.dwst####.com/ow/1804/387463242216/1523508131314.png
img.dwst####.com/ow/1804/387541327475/1523586176772.jpeg
img.dwst####.com/ow/1806/391789926491/1527834735854.jpg
img.dwst####.com/ow/1808/398941562394/1534986445678.jpg
img.dwst####.com/ow/1808/398941983800/1534986791602.png

Запросы HTTP POST:

api.tui####.b####.com/rest/2.0/channel/3464807411630748137
api.tui####.b####.com/rest/2.0/channel/channel
m####.h####.com/c.gif?act=####&smkdata=####&EC=####&appkey=####&item=###...
r####.yy.com/ws/network.do?type=####
w.j####.cc/rio
www.i####.org/two?requestId=####&g=####

Изменения в файловой системе:

Создает следующие файлы:

/data/data/####/-11204933401712264770
/data/data/####/.jg.ic
/data/data/####/1039068210344157342
/data/data/####/1039068210344157345
/data/data/####/1039068210344157369
/data/data/####/1039068210344157375
/data/data/####/1513808961-1041057702
/data/data/####/1513808961-1041057703
/data/data/####/1pKf-Rv3qVbk7F490keKdUWZiGg.2103490894.tmp
/data/data/####/3kf0-rdjgG5FTb9b3oRU1qayDMg.-1903340477.tmp
/data/data/####/3mEVc0422TiSA7ayHIUt-UwfJAU.962747691.tmp
/data/data/####/8OIvsB7m35N5WBv6w3PI3R58B5U.-1509891337.tmp
/data/data/####/8gPHrm-S0HxOHRWsqyryjdcF2EI.1695901028.tmp
/data/data/####/CE_aVKZy0TPM5JJS8qEGsPl-1yk.638301277.tmp
/data/data/####/Hiido_BasicBehavior_Appa_v3
/data/data/####/Hiido_BasicBehavior_Event_v3
/data/data/####/Hiido_BasicBehavior_Page_v3
/data/data/####/KGdv1RtohHNJq0-XomyINK-Mlj8.1447104775.tmp
/data/data/####/QB-MWQGJhqneW98lK5Nb9mV41E8.1845136343.tmp
/data/data/####/SpL9l4XYlyWT_JFv4967-4v7WvU.1745433100.tmp
/data/data/####/W_Key.xml
/data/data/####/_njghpHZUVgbBwmaxR0xKAdDIu0.-1546843337.tmp
/data/data/####/app_preferences.xml
/data/data/####/bbs_preferences.xml
/data/data/####/bindcache.xml
/data/data/####/cHb7wbnAiH7Z7lbnjSTchgw50xQ.2135281165.tmp
/data/data/####/downloadswc
/data/data/####/downloadswc-journal
/data/data/####/fOiBcr0L8onu1L-L9rUv4HZCUdg.924617932.tmp
/data/data/####/gG54oK3A7MfmKcBl-rfjtJs8FH4.111629037.tmp
/data/data/####/gQCVHYPLwnvThjiVk688o2XQmNo.-313309190.tmp
/data/data/####/hd_default_pref.xml
/data/data/####/hd_default_pref_-491053765.xml
/data/data/####/hdcommon_config_cache_pref.xml
/data/data/####/hdcommon_config_cache_pref_-491053765.xml
/data/data/####/hdstatis_cache_30a7a965_l
/data/data/####/jiMd.png
/data/data/####/kA-xyz3Bz65BpIU06NpXcaCdt84.773269566.tmp
/data/data/####/libcuid.so
/data/data/####/libjiagu1959439364.so
/data/data/####/mobi.w17b28cd.c692cac.push_sync.xml
/data/data/####/mobi.w17b28cd.c692cac.self_push_sync.xml
/data/data/####/mobi.w17b28cd.c692cac_preferences.xml
/data/data/####/multidex.version.xml
/data/data/####/pG-A-M8oUAnKQWLhENtaAkh8d58.301910679.tmp
/data/data/####/pcEWSmNkqteWRllIVrknGw878xs.45456930.tmp
/data/data/####/pst.xml
/data/data/####/pst.xml (deleted)
/data/data/####/puObMakq0NishREE8UtT-DaNGhE.586619525.tmp
/data/data/####/pushclient.xml
/data/data/####/pushstat_5.0.0.db
/data/data/####/pushstat_5.0.0.db-journal
/data/data/####/rNRTdjkxYlKye-MFxhShRvuhV7I.1770116649.tmp
/data/data/####/st.xml
/data/data/####/upL9JqI5DpMLnLF4rC5uKAVoiTc.2039545258.tmp
/data/data/####/uuid.bck
/data/data/####/webview.db-journal
/data/data/####/webviewCookiesChromium.db-journal
/data/data/####/webviewCookiesChromiumPrivate.db-journal
/data/data/####/xTZcBYikI9kdOcg6uznsKwTQFt4.1181313410.tmp
/data/data/####/y_0OQ00Vax3Fdj2kHHyi3sgn7n0.-1483141084.tmp
/data/data/####/yyNA3mkqyjyDm3Vu0vVbPIizLRo.1828448634.tmp
/data/data/####/yyudb2.xml
/data/media/####/.cuid
/data/media/####/.cuid2
/data/media/####/5.0wsy.jar.x
/data/media/####/hdstatis_20180823.log
/data/media/####/restime.dat
/data/media/####/uuid.bck

Другие:

Запускает следующие shell-скрипты:

/system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
chmod 755 <Package Folder>/.jiagu/libjiagu1959439364.so
ls -l /system/bin/su
ps

Загружает динамические библиотеки:

bdpush_V2_6
imagepipeline
libjiagu1959439364

Использует следующие алгоритмы для шифрования данных:

AES-CBC-NoPadding
DES
RSA-ECB-PKCS1Padding

Использует следующие алгоритмы для расшифровки данных:

AES-ECB-PKCS5Padding
DES
RSA-ECB-PKCS1Padding

Использует специальную библиотеку для скрытия исполняемого байткода.

Осуществляет доступ к информации о геолокации.

Осуществляет доступ к информации о сети.

Осуществляет доступ к информации о телефоне (номер, imei и тд.).

Осуществляет доступ к информации об установленных приложениях.

Добавляет задания в системный планировщик.

Отрисовывает собственные окна поверх других приложений.

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней