Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.743.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.0) pis.al####.com:80
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) statson####.pu####.b####.com:80
- TCP(HTTP/1.1) api.tui####.b####.com:80
- TCP(HTTP/1.1) pus.al####.com:80
- TCP(HTTP/1.1) av####.bbs.du####.com:80
- TCP(HTTP/1.1) att.bbs.du####.com:80
- TCP(HTTP/1.1) 1####.76.224.67:80
- TCP(HTTP/1.1) m####.h####.com:80
- TCP(HTTP/1.1) pss.al####.com:80
- TCP(HTTP/1.1) ti####.c####.l####.####.com:80
- TCP(HTTP/1.1) bbs.du####.com:80
- TCP(TLS/1.0) co####.h####.com:443
- TCP(TLS/1.0) pns.al####.com:443
- TCP(TLS/1.0) l####.4####.top:443
- TCP sa.tui####.b####.com:5287
Запросы DNS:
- a####.u####.com
- api.tui####.b####.com
- att.bbs.du####.com
- av####.bbs.du####.com
- bbs.du####.com
- cdn.app.h####.top
- co####.h####.com
- l####.4####.top
- m####.h####.com
- pis.al####.com
- pns.al####.com
- pss.al####.com
- pus.al####.com
- sa.tui####.b####.com
- statson####.pu####.b####.com
Запросы HTTP GET:
- att.bbs.du####.com/forum/201512/24/111453tvzczvv7u6osta56.jpg
- att.bbs.du####.com/forum/201601/26/113440z1myu3h6qhfeu31l.jpg
- att.bbs.du####.com/forum/201601/26/113554vd6vmw3mu6tztova.jpg
- att.bbs.du####.com/forum/201601/26/113555bcv7vqza6b116t6v.jpg
- att.bbs.du####.com/forum/201601/26/113555cbhcckz0bj99h60b.jpg
- att.bbs.du####.com/forum/201601/26/11355603q0i135z3xrt13y.jpg
- att.bbs.du####.com/forum/201601/26/113556fisq7m1idzgdy0sm.jpg
- att.bbs.du####.com/forum/201601/26/113556jjzjdrcyn1tc14ij.jpg
- att.bbs.du####.com/forum/201601/26/113556osib2ofjjor0ejr0.jpg
- att.bbs.du####.com/forum/201601/26/113556syjtcpy8up0lgjkg.jpg
- att.bbs.du####.com/forum/201609/22/1114053l3s94xwq23t77tl.png
- att.bbs.du####.com/forum/201701/12/145602md00ztii94ya4bmy.png
- att.bbs.du####.com/forum/201804/18/165911vhwbhl25exibdoar.png
- att.bbs.du####.com/forum/201804/18/1659125aoodgb6uy8dr9q9.png
- att.bbs.du####.com/forum/201804/18/171624bwnz6mnyjntnnlwj.png
- att.bbs.du####.com/forum/201804/18/1716254t4latpcr4r3apmf.png
- att.bbs.du####.com/forum/201804/18/171626x76aj27ogg88pgp7.png
- att.bbs.du####.com/forum/201804/18/171718tlvtgcnevvvvtafw.png
- att.bbs.du####.com/forum/201808/29/1157571kfo5bsyyhsbfyes.jpg.thumb.jpg
- att.bbs.du####.com/forum/201808/29/120656ahdldya6lbs6a1l6.jpg.thumb.jpg
- att.bbs.du####.com/forum/201808/29/1231457997hcsc9nshhmi7.png.thumb.jpg
- att.bbs.du####.com/forum/201808/29/123145h8ipi7n88qbt7oz8.jpg.thumb.jpg
- av####.bbs.du####.com/002/22/98/02_avatar_middle.jpg
- av####.bbs.du####.com/045/35/99/80_avatar_middle.jpg
- av####.bbs.du####.com/062/20/82/27_avatar_middle.jpg
- av####.bbs.du####.com/065/61/01/02_avatar_middle.jpg
- bbs.du####.com/api/mobile/?module=####&version=####
- bbs.du####.com/api/mobile/?module=####&version=####&fid=####&page=####
- bbs.du####.com/api/mobile/?module=####&version=####&page=####&pid=####&t...
- bbs.du####.com/api/mobile/?module=####&version=####&parsesmile=####&page...
- bbs.du####.com/api/mobile/?module=####&version=####&platform=####&user_i...
- bbs.du####.com/api/mobile/?module=####&version=####&type=####
- pus.al####.com/kernal/sdkcontrol/vod_android-mobile_x86_9.1.1.1220.jpg
- ti####.c####.l####.####.com/swenjian/321
- ti####.c####.l####.####.com/swenjian/321m
Запросы HTTP POST:
- a####.u####.com/app_logs
- api.tui####.b####.com/rest/2.0/channel/4567579735370535013
- api.tui####.b####.com/rest/2.0/channel/channel
- m####.h####.com/c.gif?act=####&smkdata=####&EC=####&appkey=####&item=###...
- pis.al####.com/p/pcdn/i.php?v=####
- pss.al####.com/iku/log/acc
- pss.al####.com/iku/log/acc?ver=####&flag=####&t=####&mytype=####
- statson####.pu####.b####.com/pushlog_special
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/-1018741680-1706253920
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/1648260290-688031431
- /data/data/####/1962680822663747630
- /data/data/####/1962680822663747690
- /data/data/####/5DB7VH3SgHOkuw9ljBoZwDeugiU.-1154684251.tmp
- /data/data/####/68JgkbpU-vKMio8ppNzbNvsW9aQ.-929079035.tmp
- /data/data/####/70fBEWauWRj9F95sBd2YVqb1sH0.1195723905.tmp
- /data/data/####/8ulj-GBQ_1iNUwDs1KnK4nEvUhM.18975474.tmp
- /data/data/####/97619233100346066
- /data/data/####/AJ8twnIA2GZiUv5osIgBcWxyHAw.985009710.tmp
- /data/data/####/Atid.jar
- /data/data/####/Atid.xml
- /data/data/####/B1hiRDZEpHJgUkXN0ak--DyalUM.-2146253856.tmp
- /data/data/####/DmYO4DDNpgQ5Ub-YOIV61C8cXrI.784735394.tmp
- /data/data/####/GZUxuTfndF8tyYXijhtTbm9s75A.-924480747.tmp
- /data/data/####/G_dytg7DxeOJBsZLvXD7Hk7BQFo.1605666336.tmp
- /data/data/####/GneVVaMSZgPzSE4BTA1PTEYwrfs.-367449616.tmp
- /data/data/####/Q-TArS8dbleB5n_x9CFagvM0skA.662202677.tmp
- /data/data/####/Rqbb.xml
- /data/data/####/RwQJSSdxsyirZLuL0lCtEscpzE8.-2047127490.tmp
- /data/data/####/SUBOXLOG_
- /data/data/####/Wql9Rwhyqxxm7uSnvGxszn2iTxw.-1448776472.tmp
- /data/data/####/acc1M8ydclJKngvObTjj5qRg5os.-1776562453.tmp
- /data/data/####/b23448f7-0838-44c3-adc6-093f532c38cf
- /data/data/####/bbs_preferences.xml
- /data/data/####/bindcache.xml
- /data/data/####/bzwn.db-journal
- /data/data/####/comment_edit.xml
- /data/data/####/cwjipjcpiwquhocw.qpcwpijachuwq.abcbwoiuusucwa.p...nc.xml
- /data/data/####/cwjipjcpiwquhocw.qpcwpijachuwq.abcbwoiuusucwa.s...nc.xml
- /data/data/####/e5BLAw2rEu6SqG984hbP-J_jWY0.-199829154.tmp
- /data/data/####/ebn.xml
- /data/data/####/enl08XonWBkPzpjNpz2Os4Uh53g.557521496.tmp
- /data/data/####/exchangeIdentity.json
- /data/data/####/f49mPXyz9tj5f02FqpsFxCfm98k.1965609022.tmp
- /data/data/####/faaf3249-2232-4f87-96dc-90322267d480.jar
- /data/data/####/hd_default_pref.xml
- /data/data/####/hd_default_pref_-1012577297.xml
- /data/data/####/hd_default_pref_-293060976.xml
- /data/data/####/hdcltid.xml
- /data/data/####/hdcommon_config_cache_pref.xml
- /data/data/####/hdcommon_config_cache_pref_-1012577297.xml
- /data/data/####/hdcommon_config_cache_pref_-293060976.xml
- /data/data/####/hdid.bck
- /data/data/####/hdid_v2
- /data/data/####/hdstatis_cache_c27515f9
- /data/data/####/itNHRWHh05y3bfsCodx2CRLa7dM.1936064219.tmp
- /data/data/####/libjiagu.so
- /data/data/####/libpcdn_acc.zip
- /data/data/####/libpcdn_acc_new.so
- /data/data/####/mobclick_agent_cached_cwjipjcpiwquhocw.qpcwpija...cwa298
- /data/data/####/n4OkiynykjK2Y1dCb05k-tw29Dk.518042531.tmp
- /data/data/####/pcdnconfigs.xml
- /data/data/####/pcdnconfigs.xml.bak
- /data/data/####/pst.xml
- /data/data/####/pushstat_4.6.0.db
- /data/data/####/pushstat_4.6.0.db-journal
- /data/data/####/r1N1WMvV_gQM7MuQJVnkho0ilRU.2088744452.tmp
- /data/data/####/tIBFDe1CbwLmQzuXmiSj-2rpAaA.1209249324.tmp
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/uwNUS31xC_bXFgNl7znI4a5mxuo.1830644633.tmp
- /data/data/####/vDxFnqplmdCwWAPrlBNjIvdV-eQ.-994903471.tmp
- /data/data/####/vLR7zhbDwfSHi5SCMxJAVEOWYMU.-1646574980.tmp
- /data/data/####/w82aQoYWoI9PLUFcklbCELEMWL0.-1186498319.tmp
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/webviewCookiesChromiumPrivate.db-journal
- /data/media/####/.cuid
- /data/media/####/.nomedia
- /data/media/####/Device
- /data/media/####/Device_v2
- /data/media/####/Global
- /data/media/####/apps
- /data/media/####/hdcltid.ini
- /data/media/####/hdstatis_20180829.log
- /data/media/####/myself.dat
- /data/media/####/pushlappv2.db
- /data/media/####/pushlappv2.db-journal
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- ps
Загружает динамические библиотеки:
- bdpush_V2_5
- bitmaps
- hiidostatisjni
- libjiagu
- libpcdn_acc
- memchunk
- pcdn_acc
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-NoPadding
- AES-CBC-PKCS5Padding
- DES
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- DES
- RSA-ECB-PKCS1Padding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
