Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.RemoteCode.127.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) up####.sdk.jig####.cn:80
- TCP(HTTP/1.1) cs.yylen####.com:80
- TCP(TLS/1.0) apm.yylen####.com:443
- TCP(TLS/1.0) s####.j####.cn:443
- TCP 1####.46.30.57:7006
- UDP s.j####.cn:19000
Запросы DNS:
- a####.u####.com
- apm.yylen####.com
- cs.yylen####.com
- mt####.go####.com
- s####.j####.cn
- s.j####.cn
- up####.sdk.jig####.cn
Запросы HTTP POST:
- a####.u####.com/app_logs
- cs.yylen####.com/chat-sdk/sdk/user/v1/config.action
- up####.sdk.jig####.cn/v1/push/sdk/postlist
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/054a5195-dd8e-4dd6-8553-03581fcee457
- /data/data/####/1004
- /data/data/####/56357310-5c46-4b96-b43e-80a48a9c893a
- /data/data/####/8436d2ff-bb80-4e07-a8d7-efc0205e3c98
- /data/data/####/8d5f1be2-69d4-4454-8158-8631c3fd9e56
- /data/data/####/ApmBoxProduce.xml
- /data/data/####/CMA_PREFS_20170318.xml
- /data/data/####/JPushSA_Config.xml
- /data/data/####/MultiDex.lock
- /data/data/####/appPackageNames_v2
- /data/data/####/b15256d4-c96f-409e-80b7-458bb73a8edd
- /data/data/####/bugly_db_-journal
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/cn.jpush.android.user.profile.xml
- /data/data/####/cn.jpush.preferences.v2.rid.xml
- /data/data/####/cn.jpush.preferences.v2.xml
- /data/data/####/crashrecord.xml
- /data/data/####/device_id.xml
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/fac69012-9bcc-4cfa-8084-2ce91c52f4ea
- /data/data/####/jpush_device_info.xml
- /data/data/####/jpush_local_notification.db
- /data/data/####/jpush_local_notification.db-journal
- /data/data/####/jpush_local_notification.db-wal
- /data/data/####/jpush_stat_cache.json
- /data/data/####/jpush_stat_cache_history.json
- /data/data/####/jpush_statistics.db
- /data/data/####/jpush_statistics.db-journal
- /data/data/####/jpush_statistics.db-shm (deleted)
- /data/data/####/jpush_statistics.db-wal
- /data/data/####/libjiagu-535739412.so
- /data/data/####/multidex.version.xml
- /data/data/####/native_record_lock
- /data/data/####/sobot_config.xml
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/media/####/.push_deviceid
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu-535739412.so
Загружает динамические библиотеки:
- Bugly
- jcore121
- libjiagu-535739412
Использует следующие алгоритмы для шифрования данных:
- AES
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS7Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS7Padding
- AES-ECB-NoPadding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
