Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Xiny.1513
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) 1####.55.93.104:9004
- TCP(HTTP/1.1) v####.api.eeric####.com:80
- TCP(HTTP/1.1) www.3####.com:8081
- TCP(HTTP/1.1) www.go####.com:80
- TCP(HTTP/1.1) gdv.a.s####.com:80
- TCP(HTTP/1.1) yuey####.ld####.com:80
- TCP(TLS/1.0) st####.doublec####.net:443
- TCP(TLS/1.0) poli####.go####.com:443
- TCP(TLS/1.0) i.y####.com:443
- TCP(TLS/1.0) www.go####.com:443
- TCP(TLS/1.0) www.you####.com:443
- TCP(TLS/1.0) www.gst####.com:443
- TCP(TLS/1.0) res-jar####.oss-cn-####.aliy####.com:443
- TCP(TLS/1.0) adser####.go####.com:443
- TCP(TLS/1.0) googl####.g.doublec####.net:443
- TCP(TLS/1.0) ssl.gst####.com:443
Запросы DNS:
- adser####.go####.com
- f####.gst####.com
- googl####.g.doublec####.net
- i####.api.zhifa####.net
- i####.api.zhifa####.net
- i.y####.com
- int.d####.s####.####.cn
- p####.go####.com
- poli####.go####.com
- pv.s####.com
- re####.api.zhifa####.net
- res-jar####.oss-cn-####.aliy####.com
- s.y####.com
- sdk.api.zhifa####.net
- sdk.daily####.com
- ssl.gst####.com
- st####.doublec####.net
- v####.api.eeric####.com
- www.3####.com
- www.go####.com
- www.google-####.com
- www.gst####.com
- www.you####.com
- yuey####.ld####.com
Запросы HTTP GET:
- gdv.a.s####.com/cityjson?ie=####
- www.go####.com/complete/search?hl=####&client=####&q####
Запросы HTTP POST:
- v####.api.eeric####.com/api/payment/mobileInit.html
- v####.api.eeric####.com/api/payment/updateinit_v2
- www.3####.com:8081/e/mmc
- yuey####.ld####.com/channel/paymentHandle.action?requestId=####&v=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/anr/traces.txt
- /data/data/####/.jg.ic
- /data/data/####/1538921794751
- /data/data/####/1538921805669
- /data/data/####/1538921813568
- /data/data/####/1538921848256
- /data/data/####/1538921859134
- /data/data/####/action.db-journal
- /data/data/####/ckS.AIiclMbF.jdWEI.com.sdk.db.DBHelper_msegpay.db-journal
- /data/data/####/ckS.AIiclMbF.jdWEI.xml
- /data/data/####/ckS.AIiclMbF.jdWEI_preferences.xml
- /data/data/####/config50238.xml
- /data/data/####/libjiagu1809945253.so
- /data/data/####/loccalCache.xml
- /data/data/####/new_md.jar
- /data/data/####/pay_plg.jar
- /data/data/####/qihoo_jiagu_crash_report.xml
- /data/data/####/shunpay_config
- /data/media/####/ckS.AIiclMbF.jdWEI_250026699187743_20181007_pay.log
- /data/media/####/spay_v10042.dex
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu1809945253.so
Загружает динамические библиотеки:
- gdx
- libjiagu1809945253
- sec
- shunpay
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS7Padding
- DES
- DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES
- DES
- DES-CBC-PKCS5Padding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из смс сообщений.
Осуществляет доступ к информации об отправленых/принятых смс.
