Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Locker.1068
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) gxh.vip.qq.####.com:80
- TCP(HTTP/1.1) g.v####.qq.com:80
- TCP(HTTP/1.1) i####.qq.com:80
- TCP(HTTP/1.1) www.xiao####.cn:80
- TCP(HTTP/1.1) zb.v####.qq.com:80
- TCP(TLS/1.0) t####.qq.com:443
- TCP(TLS/1.0) x####.tc.qq.com:443
- TCP(TLS/1.0) 2####.205.128.137:443
- TCP(TLS/1.0) and####.cli####.go####.com:443
- TCP(TLS/1.0) i####.qq.com:443
- TCP(TLS/1.0) 1####.217.20.110:443
- TCP(TLS/1.0) s####.tc.qq.com:443
- TCP(TLS/1.0) 3####.tc.qq.com:443
- TCP(TLS/1.0) cgiac####.tc.qq.com:443
Запросы DNS:
- and####.cli####.go####.com
- g####.vip.qq.com
- g.v####.qq.com
- i####.qq.com
- mt####.go####.com
- o####.mo####.qq.com
- pi####.qq.com
- ping####.qq.com
- qd.m####.com
- s####.qq.com
- t####.qq.com
- www.xiao####.cn
- zb.v####.qq.com
Запросы HTTP GET:
- g.v####.qq.com/public/checkUrlValid?url=https://zb.vip.qq.com/bubble/diy...
- gxh.vip.qq.####.com/club/themes/mobile/middle_page/img/jump_new.png?max_...
- gxh.vip.qq.####.com/club/themes/mobile/middle_page/index.html?url=https:...
- i####.qq.com/mobileqq/
- i####.qq.com/mobileqq/css/animate.css
- i####.qq.com/mobileqq/css/fullPage.css
- i####.qq.com/mobileqq/touch/index.html
- www.xiao####.cn/
- www.xiao####.cn/images/defaultpic.gif
- www.xiao####.cn/plus/count.php?view=####&aid=####&mid=####
- www.xiao####.cn/style/css/font-awesome.min.css
- www.xiao####.cn/style/css/style.css
- www.xiao####.cn/style/images/logo.png
- www.xiao####.cn/style/js/jquery-2.2.4.min.js
- www.xiao####.cn/style/js/jquery.lazyload.js
- www.xiao####.cn/style/js/jquery.pjax.min.js
- www.xiao####.cn/style/js/leonhere.js
- www.xiao####.cn/style/js/responsiveslides.min.js
- www.xiao####.cn/style/js/zblogphp.js
- www.xiao####.cn/style/other/fontawesome-webfont.ttf?v=####
- www.xiao####.cn/uploads/allimg/180922/1-1P9221240213B-lp.jpg
- www.xiao####.cn/uploads/allimg/180922/1-1P92214255V94-lp-lp.jpg
- www.xiao####.cn/uploads/allimg/180922/1-1P922144021M3-lp.jpg
- www.xiao####.cn/uploads/allimg/180922/1-1P922145509124-lp.png
- www.xiao####.cn/uploads/allimg/180922/1-1P922150K4D0-lp-lp.png
- www.xiao####.cn/uploads/allimg/180922/1-1P922220104632-lp.jpg
- www.xiao####.cn/uploads/allimg/180923/1-1P923123Q1603-lp.jpg
- zb.v####.qq.com/bubble/diy?_wv=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/ApplicationCache.db-journal
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/f_000004
- /data/data/####/f_000005
- /data/data/####/f_000006
- /data/data/####/f_000007
- /data/data/####/f_000008
- /data/data/####/f_000009
- /data/data/####/f_00000a
- /data/data/####/f_00000b
- /data/data/####/index
- /data/data/####/libjiagu1491912052.so
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/1551453169
- /data/media/####/5056692665f33c9443c1687b30f41352.temp0
- /data/media/####/5056692665f33c9443c1687b30f41352.temp1
- /data/media/####/5056692665f33c9443c1687b30f41352.temp2
- /data/media/####/QQ1551453169
- /data/media/####/mobileqq_android.apk
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu1491912052.so
- sh
- su
Загружает динамические библиотеки:
- libjiagu1491912052
- luajava
- ygsiyu
Использует следующие алгоритмы для расшифровки данных:
- AES
- AES-CBC-PKCS5Padding
Использует повышенные привилегии.
Использует специальную библиотеку для скрытия исполняемого байткода.
Отрисовывает собственные окна поверх других приложений.
