Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.RemoteCode.127.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/-759231588-2026454797
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/.old_file_converted
- /data/data/####/19433418721541270928
- /data/data/####/19433418722022450558
- /data/data/####/62688446-1176512421
- /data/data/####/8a9fe4a4-7142-4b56-b19b-e6c738d0074c
- /data/data/####/ATracker.xml
- /data/data/####/JPushSA_Config.xml
- /data/data/####/MultiDex.lock
- /data/data/####/ac5f015e-4204-44f8-b73c-42f458a4ffa1
- /data/data/####/appPackageNames_v2
- /data/data/####/c2dd3a87-543f-4ac9-8957-73a144a69edf
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/cn.jpush.android.user.profile.xml
- /data/data/####/cn.jpush.preferences.v2.rid.xml
- /data/data/####/cn.jpush.preferences.v2.xml
- /data/data/####/com.sensorsdata.analytics.android.sdk.SensorsDataAPI.xml
- /data/data/####/com.sharetwo.goods-journal
- /data/data/####/d62eb69a-f958-4021-bb69-62ae831b5fb5
- /data/data/####/db25f172-fafb-40df-8dba-0a25a7e25aa1
- /data/data/####/de55af88-85af-449e-95ea-09375ff3e93f
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/filedownloader.db-journal
- /data/data/####/jb_sp.xml
- /data/data/####/jpush_device_info.xml
- /data/data/####/jpush_stat_cache.json
- /data/data/####/jpush_stat_cache_history.json
- /data/data/####/jpush_statistics.db
- /data/data/####/jpush_statistics.db-journal
- /data/data/####/jpush_statistics.db-shm (deleted)
- /data/data/####/jpush_statistics.db-wal
- /data/data/####/libjiagu1738038464.so
- /data/data/####/multidex.version.xml
- /data/data/####/sensorsdata.xml
- /data/data/####/shareSquare.xml
- /data/data/####/sobot_chat_20181010_log.txt
- /data/data/####/sobot_config.xml
- /data/data/####/tracker.db
- /data/data/####/tracker.db-journal
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/media/####/.push_deviceid
- /data/media/####/1-304-1538279877.png
- /data/media/####/1-304-1538279877.png.temp
- /data/media/####/145364741
- /data/media/####/798628847
- /data/media/####/phone_uuid.tmp
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu1738038464.so
Загружает динамические библиотеки:
- jcore121
- libjiagu1738038464
Использует следующие алгоритмы для шифрования данных:
- AES
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS7Padding
Использует следующие алгоритмы для расшифровки данных:
- AES
- AES-ECB-NoPadding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
