Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.743.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) h####.a####.com:80
- TCP(HTTP/1.1) ip.ta####.com:80
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) pss.al####.com:80
- TCP(HTTP/1.1) cs215-####.a####.com:80
- TCP(HTTP/1.1) kvt####.m####.a####.com:80
- TCP(HTTP/1.1) cs227-####.a####.com:80
- TCP(HTTP/1.1) x####.a####.com:80
- TCP(HTTP/1.1) c51.a####.com:80
- TCP(HTTP/1.1) 1####.76.224.67:80
- TCP(HTTP/1.1) cs216-####.a####.com:80
- TCP(HTTP/1.1) cs106-####.a####.com:80
- TCP(HTTP/1.1) m.a####.com:80
- TCP(HTTP/1.1) fu1.a####.com:80
- TCP(HTTP/1.1) ti####.c####.l####.####.com:80
- TCP(TLS/1.0) sh.wagbr####.alibaba####.com:443
- TCP(TLS/1.0) ho####.h####.top:443
- TCP(TLS/1.0) pns.al####.com:443
- TCP(TLS/1.0) l####.4####.top:443
Запросы DNS:
- a####.u####.com
- c51.a####.com
- cdn.app.h####.top
- cs106-####.a####.com
- cs107-####.a####.com
- cs215-####.a####.com
- cs216-####.a####.com
- cs216-####.a####.com
- cs227-####.a####.com
- fu1.a####.com
- h####.a####.com
- h####.a####.com
- ho####.h####.top
- img.we####.cn
- ip.ta####.com
- kvt####.m####.a####.com
- l####.4####.top
- log.u####.com
- m####.a####.com
- m.a####.com
- pns.al####.com
- policyc####.a####.com
- pss.al####.com
- pus.al####.com
- res.we####.cn
- s####.u####.com
- so.a####.com
- www.a####.com
- x####.a####.com
Запросы HTTP GET:
- c51.a####.com/user/9/10613009/1005/card/48421491/48421491_800.jpg
- cs106-####.a####.com/user/934/57088934/1005/card/48429506/info.xml
- cs215-####.a####.com/user/9/10613009/1005/card/48421491/48421491_800.jpg
- cs216-####.a####.com/user/168/19783168/1006/card/48432657/48432657_800.jpg
- cs216-####.a####.com/user/934/57088934/1005/card/48429506/48429506_800.jpg
- cs227-####.a####.com/user/934/57088934/1005/card/48429506/card.mp4?l=###...
- fu1.a####.com/account/168/19783168/account/19783168_normal.jpg
- fu1.a####.com/account/836/6395836/account/6395836_normal.jpg
- fu1.a####.com/account/894/27391894/account/27391894_normal.jpg
- fu1.a####.com/account/9/10613009/account/10613009_normal.jpg
- fu1.a####.com/account/934/57088934/account/57088934_normal.jpg
- h####.a####.com/user/168/19783168/1006/card/48432657/48432657_800.jpg
- h####.a####.com/user/9/10613009/1005/card/48421491/48421491_800.jpg
- h####.a####.com/user/9/10613009/1005/card/48442360/48442360_800.jpg
- h####.a####.com/user/934/57088934/1005/card/48429506/48429506_800.jpg
- h####.a####.com/user/934/57088934/1005/card/48429506/card.mp4?l=####
- h####.a####.com/user/934/57088934/1005/card/48429506/info.xml
- ip.ta####.com/service/getIpInfo2.php?ip=####
- kvt####.m####.a####.com/kvinfo.php
- m.a####.com/app/www/templates/cdn_policy_telecom.txt?appver=####&a=####&...
- m.a####.com/mobile/apps/apps.php?module=####&func=####&appver=####&os=##...
- m.a####.com/mobile/apps/apps.php?module=####&func=####&os=####&appver=##...
- m.a####.com/mobile/apps/apps.php?module=####&func=####&test=####&os=####...
- m.a####.com/pc/operator
- ti####.c####.l####.####.com/swenjian/321
- ti####.c####.l####.####.com/swenjian/321m
- x####.a####.com/api/aipaiApp_action-getCommentNew_mobile-1_type-2_spread...
- x####.a####.com/api/framework/conf/19?appver=####&os=####&versionCode=####
- x####.a####.com/api/hot/bannerItem/355?appver=####&os=####&versionCode=#...
- x####.a####.com/api/hot/titleItem/356?appver=####&os=####&versionCode=####
- x####.a####.com/api/hot/videos/3045?appId=####&xifenId=####&appver=####&...
- x####.a####.com/api/specialTopic/itemList/358?appver=####&os=####&versio...
- x####.a####.com/api/top/expert/3045?appId=####&appver=####&os=####&versi...
- x####.a####.com/api/top/video/3045?appId=####&appver=####&os=####&versio...
- x####.a####.com/common/img/upload/xifen/1480329950_399.png
- x####.a####.com/common/img/upload/xifen/1480330432_559.png
- x####.a####.com/common/img/upload/xifen/1480331697_834.png
- x####.a####.com/common/img/upload/xifen/1480331730_72.png
- x####.a####.com/common/img/upload/xifen/1480384995_717.png
- x####.a####.com/common/img/upload/xifen/1480385031_108.png
- x####.a####.com/common/img/upload/xifen/1480385054_409.png
- x####.a####.com/common/img/upload/xifen/1480385074_351.png
- x####.a####.com/common/img/upload/xifen/1480385282_467.png
- x####.a####.com/mobile/apps/apps.php?module=####&func=####&app=####&ver=...
- x####.a####.com/mobile/apps/apps_module-badDomain.html
Запросы HTTP POST:
- a####.u####.com/app_logs
- kvt####.m####.a####.com/i.gif
- pss.al####.com/iku/log/acc
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/0606f3787b644f32c867242d6877947d4542119b93a2ad6....0.tmp
- /data/data/####/3dd69ca1-4ffa-4320-a533-1f1c3a70bb14.jar
- /data/data/####/4bd130b98794f631e45fb9277287ea391e50c86e6f0b0ee....0.tmp
- /data/data/####/5d1e5f8ee3ae9f4d3f2359d7b3e7798dd352f22c9c3a4f4....0.tmp
- /data/data/####/6556c55e-79bb-419f-b36e-37969d5fd326
- /data/data/####/6abd5560813033afa12c2e5fb7c8a4778e93b77a122d27e....0.tmp
- /data/data/####/71295b537a2cd317d3c79eb0fd01ff66c2320a7b4889dbf....0.tmp
- /data/data/####/7261720ee32cb112415d5bfbe37bf52fad9e6fbdf8fca93....0.tmp
- /data/data/####/7fabd1ad286e2e488ad2c0f377d6363fa4c5386da846b84....0.tmp
- /data/data/####/82e4d28e7f11cb93e707c746f3cf25b4.0.tmp
- /data/data/####/82e4d28e7f11cb93e707c746f3cf25b4.1.tmp
- /data/data/####/8fc06dae258ed67189bde220350f9c849fdc3f09c0e7244....0.tmp
- /data/data/####/994159b82abc57ff20576bb12db7a3f5a44aceea3585231....0.tmp
- /data/data/####/CookiePersistence.xml
- /data/data/####/Nv.xml
- /data/data/####/RptKVStrategy.txt
- /data/data/####/SUBOXLOG_
- /data/data/####/Uf.jar
- /data/data/####/Uf.xml
- /data/data/####/a34339544a302b1d3a46c24f558633844913c1636907c50....0.tmp
- /data/data/####/ada8b5f34922dc9db7da5e2014404081e2afc18424e199b....0.tmp
- /data/data/####/add4e6ea4c5621e37ad160783a5a4aa432dccd05d0253af....0.tmp
- /data/data/####/aipai.db
- /data/data/####/aipai.db-journal
- /data/data/####/aipai.guid
- /data/data/####/ba8fbd85df8a009128c6cc6252b7900fbcdf8e491495e87....0.tmp
- /data/data/####/bzwn.db-journal
- /data/data/####/ca257792088b768c9c8dab9d79b441d292d9ff9765d199c....0.tmp
- /data/data/####/config.json
- /data/data/####/e0888850d29ef11a195e5b377efd4265.0.tmp
- /data/data/####/e0888850d29ef11a195e5b377efd4265.1.tmp
- /data/data/####/e48119de671f8678b2710f15d80f452d30112f365259d08....0.tmp
- /data/data/####/e76292b8652c35fff43d409b168a2a0f989fe60006b459e....0.tmp
- /data/data/####/eba9faa535e5018b215f1cb0edd78d96292bd0d48111a06....0.tmp
- /data/data/####/ebn.xml
- /data/data/####/ebn.xml.bak
- /data/data/####/exchangeIdentity.json
- /data/data/####/jg_so_upgrade_setting.xml
- /data/data/####/journal.tmp
- /data/data/####/libjiagu.so
- /data/data/####/multidex.version.xml
- /data/data/####/pcdnconfigs.xml
- /data/data/####/pcdnconfigs.xml.bak
- /data/data/####/rx_sf_account.xml
- /data/data/####/rx_sf_app.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/umeng_socialize.xml
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
Загружает динамические библиотеки:
- libjiagu
- pcdn_acc
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-NoPadding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-NoPadding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
