Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.363.origin
- Android.SmsSpy.677.origin
- Android.Triada.417.origin
- Android.Triada.440.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) 7k####.46####.com:15215
- TCP(HTTP/1.1) q####.qi1####.com:14302
- TCP(HTTP/1.1) z####.heyc####.net:80
- TCP(HTTP/1.1) r####.qq####.cn:80
- TCP(HTTP/1.1) 7k####.46####.com:20351
- TCP(HTTP/1.1) q####.qi1####.com:15302
- TCP(HTTP/1.1) zxc####.wann####.com:8200
- TCP(HTTP/1.1) z####.wann####.com:9500
- TCP(HTTP/1.1) hangzho####.oss-cn-####.aliy####.com:80
- TCP(HTTP/1.1) p####.cdb####.cn:80
- TCP(HTTP/1.1) ja####.huita####.com:10091
- TCP(HTTP/1.1) qyc####.qi1####.com:8200
- TCP(HTTP/1.1) z####.wann####.com:9600
- TCP(HTTP/1.1) sdk.qi1####.com.####.com:80
- TCP(TLS/1.0) 1####.217.20.78:443
Запросы DNS:
- 7k####.46####.com
- a####.u####.com
- hangzho####.oss-cn-####.aliy####.com
- ja####.huita####.com
- p####.cdb####.cn
- prelo####.hishen####.com
- q####.qi1####.com
- qyc####.qi1####.com
- r####.qq####.cn
- sdk.qi1####.com
- y2####.uw####.com
- z####.heyc####.net
- z####.wann####.com
- zxc####.wann####.com
Запросы HTTP GET:
- hangzho####.oss-cn-####.aliy####.com/qiyi/client/sdk/so/libzxvps.so
- p####.cdb####.cn/z/bhjnmd4.zip
- p####.cdb####.cn/z/zhasadzye4.zip
- qyc####.qi1####.com:8200/sdk/file?UZjmUMP####
- qyc####.qi1####.com:8200/sdk/file?oKeL+KR####
- qyc####.qi1####.com:8200/sdk/file?r61K5wK####
- qyc####.qi1####.com:8200/sdk/file?tS6cHMF####
- r####.qq####.cn/f/tgxbvwty6
- sdk.qi1####.com.####.com/project_preloaded/2c0e9b5d714946c3b1434ce967b1e...
- sdk.qi1####.com.####.com/project_preloaded/36dd4e9586a7461ab707925c0ac78...
- sdk.qi1####.com.####.com/project_preloaded/42273528f25c4a3f8b9a52d7e5755...
- sdk.qi1####.com.####.com/project_preloaded/4cb6e199a3c546b29bd508100c87e...
- sdk.qi1####.com.####.com/project_preloaded/66ba1a4ab4854ad19c784e1ce2d8c...
- sdk.qi1####.com.####.com/project_preloaded/960deb337af7403bb79d86fa96bdc...
- sdk.qi1####.com.####.com/project_preloaded/e35c65905a354be1adbdd88fcf556...
- sdk.qi1####.com.####.com/qiyi/client/sdk/PaySDK-1.2.13.22-UR_yx.jar
- sdk.qi1####.com.####.com/vpssdk/andrcool_1.0.1.jar
Запросы HTTP POST:
- 7k####.46####.com:15215/tr/
- 7k####.46####.com:15215/ts/
- 7k####.46####.com:20351/ds/
- a####.u####.com/app_logs
- ja####.huita####.com:10091/wisdom/marking
- q####.qi1####.com:14302/sdk_login?t=####
- q####.qi1####.com:15302/sdk_login?t=####
- qyc####.qi1####.com:8200/sdk/log
- z####.heyc####.net/getlist
- z####.heyc####.net/xlogin
- z####.wann####.com:9500/
- z####.wann####.com:9600/
- zxc####.wann####.com:8200/qy/acceptSdkFileReq
- zxc####.wann####.com:8200/qy/getOnlineLoginHttpReq
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/1.json
- /data/data/####/2.json
- /data/data/####/718808d93795e42acb919bab227e6424.xml
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/EX_tiao.jpg
- /data/data/####/Lv.png
- /data/data/####/PaySDK-1.2.13.22-UR_yx.dex
- /data/data/####/PaySDK-1.2.13.22-UR_yx.jar
- /data/data/####/UI_effect.ExportJson
- /data/data/####/UI_effect0.plist
- /data/data/####/UI_effect0.png
- /data/data/####/__gather_impl.jar
- /data/data/####/__gather_impl211748887363303337133.dex (deleted)
- /data/data/####/__gather_impl211748887363303337133.jar
- /data/data/####/__gather_impl211748887380398108308.dex (deleted)
- /data/data/####/__gather_impl211748887380398108308.jar
- /data/data/####/__gather_impl211748887391175008102.dex (deleted)
- /data/data/####/__gather_impl211748887391175008102.jar
- /data/data/####/__gather_impl211748887399327406914.jar
- /data/data/####/a.db
- /data/data/####/a.db-journal
- /data/data/####/a4be9ff4668403efdb304dc0106533f6.log
- /data/data/####/a4be9ff4668403efdb304dc0106533f6.log.temp
- /data/data/####/andrcool.dex
- /data/data/####/andrcool.jar
- /data/data/####/anniu.png
- /data/data/####/asetsudi.dex (deleted)
- /data/data/####/asetsudi.jar
- /data/data/####/attack_start_01.mp3
- /data/data/####/attack_start_02.mp3
- /data/data/####/attack_start_03.mp3
- /data/data/####/b7831997a29c1ffa9882f1d59a8c2d4f
- /data/data/####/back.png
- /data/data/####/baidu
- /data/data/####/baoxiang.png
- /data/data/####/battle_bg.mp3
- /data/data/####/bg.mp3
- /data/data/####/bian.jpg
- /data/data/####/blood.plist
- /data/data/####/blood.png
- /data/data/####/btn_attack.png
- /data/data/####/btn_buy.png
- /data/data/####/btn_kejiesuo.png
- /data/data/####/btn_shiyongzhong.png
- /data/data/####/btn_start.png
- /data/data/####/btn_zhuangbei.png
- /data/data/####/buySkill.json
- /data/data/####/cache19631463163303216218
- /data/data/####/cache19631463180398001873
- /data/data/####/cache19631463191175002059
- /data/data/####/cache19631463199327281023
- /data/data/####/cache54062562163302984707
- /data/data/####/cache54062562180397773874
- /data/data/####/cache54062562191174798081
- /data/data/####/cache54062562199327053636
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/chuizi.png
- /data/data/####/close.png
- /data/data/####/config_name.json
- /data/data/####/controlPad.png
- /data/data/####/dakuang.png
- /data/data/####/damowang.png
- /data/data/####/danji.png
- /data/data/####/daoju.plist
- /data/data/####/daoju.png
- /data/data/####/device_info_sdk_update.dex
- /data/data/####/device_info_sdk_update.jar
- /data/data/####/di.png
- /data/data/####/dier.png
- /data/data/####/diyi.png
- /data/data/####/dizuo.png
- /data/data/####/dpi
- /data/data/####/duizhandi.jpg
- /data/data/####/e2d119a1c8895232098cd0bba4d5750c.log.temp
- /data/data/####/effect.ExportJson
- /data/data/####/effect0.plist
- /data/data/####/effect0.png
- /data/data/####/effect1.plist
- /data/data/####/effect1.png
- /data/data/####/effect2.plist
- /data/data/####/effect2.png
- /data/data/####/effect_out.ExportJson
- /data/data/####/effect_out0.plist
- /data/data/####/effect_out0.png
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/fang.png
- /data/data/####/font_chongzhuang.png
- /data/data/####/font_citie.png
- /data/data/####/font_gedang.png
- /data/data/####/font_huiti.png
- /data/data/####/font_jiasu.png
- /data/data/####/font_longjuanfeng.png
- /data/data/####/font_tilishangxian.png
- /data/data/####/font_xixue.png
- /data/data/####/font_xuanfengzhan.png
- /data/data/####/font_xuebao.png
- /data/data/####/fuhuo.png
- /data/data/####/gaiming.png
- /data/data/####/gameid
- /data/data/####/gameid.zip
- /data/data/####/gedang.mp3
- /data/data/####/getprop
- /data/data/####/gongji.png
- /data/data/####/gongjimiaosu.png
- /data/data/####/ground.png
- /data/data/####/head.png
- /data/data/####/heiqkwpo.dex (deleted)
- /data/data/####/heiqkwpo.jar
- /data/data/####/hid.db
- /data/data/####/huodexingxing.plist
- /data/data/####/huodexingxing.png
- /data/data/####/icon_boss.png
- /data/data/####/jia.png
- /data/data/####/jiantou.png
- /data/data/####/jiao.jpg
- /data/data/####/jiesu.png
- /data/data/####/jindutiao.png
- /data/data/####/juese_shadow.png
- /data/data/####/language.csv
- /data/data/####/levelUp.csv
- /data/data/####/lianwang.png
- /data/data/####/libasex.so
- /data/data/####/libasex.so-32
- /data/data/####/libasex.so-64
- /data/data/####/libdinfo.so
- /data/data/####/libgather.xml
- /data/data/####/libjiagu.so
- /data/data/####/libzxsessionsafe.so
- /data/data/####/libzxvps.so
- /data/data/####/loading.jpg
- /data/data/####/login.jpg
- /data/data/####/logo.png
- /data/data/####/man.ExportJson
- /data/data/####/man0.plist
- /data/data/####/man0.png
- /data/data/####/man1.plist
- /data/data/####/man1.png
- /data/data/####/man2.plist
- /data/data/####/man2.png
- /data/data/####/man3.plist
- /data/data/####/man3.png
- /data/data/####/man4.plist
- /data/data/####/man4.png
- /data/data/####/man5.plist
- /data/data/####/man5.png
- /data/data/####/man6.plist
- /data/data/####/man6.png
- /data/data/####/man7.plist
- /data/data/####/man7.png
- /data/data/####/man_all.ExportJson
- /data/data/####/man_all0.plist
- /data/data/####/man_all0.png
- /data/data/####/man_all1.plist
- /data/data/####/man_all1.png
- /data/data/####/man_all2.plist
- /data/data/####/man_all2.png
- /data/data/####/man_all3.plist
- /data/data/####/man_all3.png
- /data/data/####/man_all4.plist
- /data/data/####/man_all4.png
- /data/data/####/man_all5.plist
- /data/data/####/man_all5.png
- /data/data/####/man_all6.plist
- /data/data/####/man_all6.png
- /data/data/####/man_down.ExportJson
- /data/data/####/man_down0.plist
- /data/data/####/man_down0.png
- /data/data/####/mask.png
- /data/data/####/mask1.png
- /data/data/####/mask4.png
- /data/data/####/mask5.png
- /data/data/####/mianban.png
- /data/data/####/miaosu.png
- /data/data/####/miaosu_di.png
- /data/data/####/nbk.plist
- /data/data/####/nbk.png
- /data/data/####/noNeedWord.json
- /data/data/####/no_sense_ad.dex
- /data/data/####/no_sense_ad.jar
- /data/data/####/padCenter.png
- /data/data/####/paihangbang.png
- /data/data/####/paomadengdi.png
- /data/data/####/pid
- /data/data/####/qiangang_sdk_update.dex
- /data/data/####/qiangang_sdk_update.jar
- /data/data/####/qihoo_jiagu_crash_report.xml
- /data/data/####/queding.png
- /data/data/####/quxiao.png
- /data/data/####/qy_db_pay
- /data/data/####/qy_db_pay-journal
- /data/data/####/rename.json
- /data/data/####/rentou.png
- /data/data/####/rwscuirq.dex (deleted)
- /data/data/####/rwscuirq.jar
- /data/data/####/sdk.xml
- /data/data/####/set.png
- /data/data/####/shaizi.png
- /data/data/####/shengji.png
- /data/data/####/shoe.png
- /data/data/####/shuzi.png
- /data/data/####/siwang.png
- /data/data/####/skill.csv
- /data/data/####/skillInfo.json
- /data/data/####/skill_btn_chongfeng.png
- /data/data/####/skill_btn_dun.png
- /data/data/####/skill_btn_xuanfeng.png
- /data/data/####/skill_citie.png
- /data/data/####/skill_goufu.png
- /data/data/####/skill_jiasu.png
- /data/data/####/skill_longjuanfeng.png
- /data/data/####/skill_tilishangxian.png
- /data/data/####/skill_xiti.png
- /data/data/####/skill_xixue.png
- /data/data/####/skill_xuebao.png
- /data/data/####/startScene.json
- /data/data/####/suipian.png
- /data/data/####/tech.csv
- /data/data/####/terrain.png
- /data/data/####/tili.png
- /data/data/####/tilimiaosu.png
- /data/data/####/time.png
- /data/data/####/tiumwklc.jar
- /data/data/####/tmp_jar
- /data/data/####/tmp_so
- /data/data/####/tong.png
- /data/data/####/tuichu.png
- /data/data/####/tx_ui.ExportJson
- /data/data/####/tx_ui0.plist
- /data/data/####/tx_ui0.png
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/ui_180zuanshi.png
- /data/data/####/ui_baoxiang.png
- /data/data/####/ui_fuhuo.png
- /data/data/####/ui_gaiming.png
- /data/data/####/ui_jineng.png
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/unknown.xml
- /data/data/####/web_page_sdk_update.dex
- /data/data/####/web_page_sdk_update.jar
- /data/data/####/webview.db
- /data/data/####/webview.db-journal
- /data/data/####/wenhao.png
- /data/data/####/xuankuang.png
- /data/data/####/xuanzhe.png
- /data/data/####/xue.png
- /data/data/####/xueliang.png
- /data/data/####/xuemiaosu.png
- /data/data/####/yd_config_c.xml
- /data/data/####/zhadan.png
- /data/data/####/zhanhuo.plist
- /data/data/####/zhanhuo.png
- /data/data/####/zhugong.png
- /data/data/####/zhujiemian.jpg
- /data/data/####/zudang.plist
- /data/data/####/zudang.png
- /data/media/####/.cfg
- /data/media/####/.nid
- /data/media/####/.uucrrux
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/device
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh
- app_process /system/bin com.android.commands.am.Am startservice --user 0 -n <Package>/com.google.android.gms.analytics.CampaignTrackingService
- cat /proc/version
- cat /sys/block/mmcblk0/device/cid
- cat /sys/class/android_usb/android0/idProduct
- cat /sys/class/android_usb/android0/idVendor
- cat /sys/class/net/wlan0/address
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- chmod 777 <Package Folder>/lib/helper
- dd if=<Package Folder>/lib/libhelper.so of=<Package Folder>/lib/helper
- getprop
- getprop ro.board.platform
- getprop ro.product.cpu.abi
- ls -l /dev
- ls -l /dev/block
- ls -l /dev/block/vold
- ls -l /dev/bus
- ls -l /dev/bus/usb
- ls -l /dev/bus/usb/001
- ls -l /dev/com.android.settings.daemon
- ls -l /dev/cpuctl
- ls -l /dev/cpuctl/apps
- ls -l /dev/cpuctl/apps/bg_non_interactive
- ls -l /dev/graphics
- ls -l /dev/input
- ls -l /dev/log
- ls -l /dev/pts
- ls -l /dev/snd
- ls -l /dev/socket
- ls -l /system/bin/su
- ps
- sh
Загружает динамические библиотеки:
- cocos2dcpp
- libasex
- libhelper
- libjiagu
- libsmsmanager
- libzxvps
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS5Padding
- DES
- DES-ECB-NoPadding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- DES
- DES-ECB-NoPadding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из смс сообщений.
Осуществляет доступ к информации об отправленых/принятых смс.
