Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.743.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) da####.c####.qini####.com:80
- TCP(HTTP/1.1) pus.al####.com:80
- TCP(HTTP/1.1) pss.al####.com:80
- TCP(HTTP/1.1) 1####.76.224.67:80
- TCP(TLS/1.0) ssl.gst####.com:443
- TCP(TLS/1.0) et2-na6####.wagbr####.ali####.####.com:443
- TCP(TLS/1.0) www.go####.nl:443
- TCP(TLS/1.0) pns.al####.com:443
- TCP(TLS/1.0) www.go####.com:443
- TCP(TLS/1.0) www.gst####.com:443
- TCP(TLS/1.0) adser####.go####.com:443
- TCP(TLS/1.0) l####.4####.top:443
Запросы DNS:
- a####.u####.com
- adser####.go####.com
- cdn.app.4####.top
- l####.4####.top
- log.u####.com
- m.5####.com
- pns.al####.com
- pss.al####.com
- pus.al####.com
- s####.u####.com
- ssl.gst####.com
- www.go####.com
- www.go####.nl
- www.gst####.com
Запросы HTTP GET:
- da####.c####.qini####.com/swenjian/yes
- pus.al####.com/kernal/sdkcontrol/vod_android-mobile_x86_9.1.1.1220.jpg
Запросы HTTP POST:
- a####.u####.com/app_logs
- pss.al####.com/iku/log/acc
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/5d014eb3-fd15-455b-9670-3d645dbfe6bc.jar
- /data/data/####/SUBOXLOG_
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/com.linghsneghs.zhushou_preferences.xml
- /data/data/####/config.xml
- /data/data/####/diy.db
- /data/data/####/diy.db-journal
- /data/data/####/e39203fe-84ed-4714-b7ae-9f26f4e5679d
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/favorit.db-journal
- /data/data/####/h.jar
- /data/data/####/h.xml
- /data/data/####/libjiagu590508479.so
- /data/data/####/mivmi.xml
- /data/data/####/pcdnconfigs.xml
- /data/data/####/qihoo_jiagu_crash_report.xml
- /data/data/####/sound_ring.db-journal
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/umeng_socialize.xml
- /data/data/####/vmeni.db-journal
- /data/media/####/.nomedia
- /data/media/####/caahe-2018-09-25-00-32-44-1537835564151.log
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu590508479.so
Загружает динамические библиотеки:
- libjiagu590508479
- pcdn_acc
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-NoPadding
- AES-CBC-PKCS7Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-NoPadding
- AES-CBC-PKCS7Padding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
