Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.192.origin
- Android.DownLoader.652
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) cps.k####.com:80
- TCP(HTTP/1.1) www.k####.com:80
- TCP(HTTP/1.1) api.appj####.com:80
- TCP(HTTP/1.1) l####.lv####.com:80
- TCP(HTTP/1.1) t####.d####.q####.####.com:80
- TCP(HTTP/1.1) c####.u####.vip.com:80
- TCP(HTTP/1.1) www.s####.com:80
- TCP(HTTP/1.1) www.lv####.com:80
- TCP(HTTP/1.1) tts.pac####.q####.####.com:80
- TCP(HTTP/1.1) www.a####.com.####.net:80
- TCP(HTTP/1.1) wildcar####.c####.com.####.net:80
- TCP(HTTP/1.1) ctslb-b####.ctrip####.com:80
- TCP(HTTP/1.1) www.fe####.com:80
- TCP(HTTP/1.1) d.dn####.net:80
- TCP(HTTP/1.1) third####.k####.com:80
- TCP(HTTP/1.1) bao####.163.com:80
- TCP(HTTP/1.1) c####.you.163.com:80
- TCP(HTTP/1.1) m.lv####.com:80
- TCP(HTTP/1.1) t.l####.com:80
- TCP(HTTP/1.1) cn.s####.com:80
- TCP(HTTP/1.1) www.c####.com.####.net:80
- TCP(HTTP/1.1) d####.q####.q####.com:80
- TCP(HTTP/1.1) wap.liba####.com:80
- TCP(TLS/1.0) x####.tc.qq.com:443
- TCP(TLS/1.0) 1####.217.17.46:443
- TCP(TLS/1.0) wap.liba####.com:443
- TCP(TLS/1.0) t####.qq.com:443
- TCP(TLS/1.0) www.a####.com.####.net:443
- TCP(TLS/1.0) u####.lu.com:443
- TCP(TLS/1.0) ty.cap####.qq.com:443
- TCP(TLS/1.0) c####.u####.vip.com:443
- TCP(TLS/1.0) xui.ptlo####.qq.com:443
- TCP(TLS/1.0) s####.tc.qq.com:443
- TCP(TLS/1.0) openmo####.qq.com:443
- TCP(TLS/1.0) ui.ptlo####.qq.com:443
- TCP(TLS/1.0) re####.url.cn:443
- TCP(TLS/1.0) ssl.cap####.qq.com:443
- TCP(TLS/1.0) g####.qq.com:443
- TCP(TLS/1.0) pass####.fe####.com:443
- TCP(TLS/1.0) pin####.qq.com:443
- TCP(TLS/1.0) www.v####.com:443
- TCP(TLS/1.0) t.l####.com:443
- TCP(TLS/1.0) huatuos####.we####.com:443
- TCP(TLS/1.0) t####.d####.q####.####.com:443
- TCP(TLS/1.0) hm.b####.com:443
- TCP(TLS/1.0) ms.vipst####.com:443
- TCP(TLS/1.0) pass####.l####.com:443
- TCP(TLS/1.0) 1####.217.17.110:443
- TCP(TLS/1.0) m.lv####.com:443
- TCP(TLS/1.0) cps.k####.com:443
- TCP(TLS/1.0) d####.q####.q####.com:443
- TCP(TLS/1.0) p####.tc.qq.com:443
- TCP(TLS/1.0) www.k####.com:443
- TCP(TLS/1.0) vo.a####.com:443
Запросы DNS:
- a.y####.club
- api.appj####.com
- b.duanxi####.com
- b.y####.club
- bao####.163.com
- c####.u####.vip.com
- c####.yhd.com
- c####.you.163.com
- c.y####.club
- cap####.g####.com
- clubf####.l####.com
- cn.s####.com
- cps.k####.com
- css.liba####.com
- d####.q####.com
- d.dn####.net
- d.y####.club
- g####.qq.com
- hm.b####.com
- huatuos####.we####.com
- imgc####.qq.com
- l####.lv####.com
- m.c####.com
- m.fe####.com
- m.k####.com
- m.lv####.com
- ms.vipst####.com
- openmo####.qq.com
- pass####.fe####.com
- pass####.l####.com
- pin####.qq.com
- re####.url.cn
- s####.qq.com
- s.u####.cn
- ssl.cap####.qq.com
- t####.d####.q####.com
- t####.qq.com
- t.l####.com
- tb2c####.pac####.q####.com
- third####.k####.com
- ty.cap####.qq.com
- u####.lu.com
- u.c####.com
- ui.ptlo####.qq.com
- wap.liba####.com
- www.a####.com
- www.c####.com
- www.fe####.com
- www.k####.com
- www.lv####.com
- www.s####.com
- www.v####.com
- xui.ptlo####.qq.com
Запросы HTTP GET:
- bao####.163.com/p/36704200/car/
- c####.u####.vip.com/redirect.php?tracking_id=####&url=eyJ####&desturl=##...
- c####.you.163.com/track/index.do?unionid=####&euid=####&mid=####&channel...
- cn.s####.com/index.html?cm_mmc=####
- cn.s####.com/wap/index.html?cm_mmc=####
- cps.k####.com/redirect/yiqifa?source=####&cid=####&channel=####&wi=####&...
- ctslb-b####.ctrip####.com/html5/?allianceid=####&allianceid=####&ouid=##...
- d####.q####.q####.com/?ex_track=####
- d.dn####.net/img/1.jpg
- d.dn####.net/img/10.jpg
- d.dn####.net/img/11.jpg
- d.dn####.net/img/12.jpg
- d.dn####.net/img/13.jpg
- d.dn####.net/img/14.jpg
- d.dn####.net/img/15.jpg
- d.dn####.net/img/2.jpg
- d.dn####.net/img/3.jpg
- d.dn####.net/img/4.jpg
- d.dn####.net/img/5.jpg
- d.dn####.net/img/6.jpg
- d.dn####.net/img/7.jpg
- d.dn####.net/img/8.jpg
- d.dn####.net/img/9.jpg
- l####.lv####.com/nsso/cps/noEncryRedirect.do;jsessionid=AA7C003570E81624...
- l####.lv####.com/nsso/tuiguang/FanLiRedirect.do?tracking_id=4791132791&c...
- m.lv####.com/
- t####.d####.q####.####.com/?ex_track=####
- t.l####.com/r/qdEP5=J
- third####.k####.com/cps/login?channel_id=####&u_id=####&tracking_code=##...
- tts.pac####.q####.####.com/cps/dm_redirect.qunar?mid=156960&feedback=149...
- wap.liba####.com/
- wildcar####.c####.com.####.net/union/CtripRedirect.aspx?TypeID=2&Allianc...
- www.a####.com.####.net/zh-cn/?cid=####&tag=####&tracking_id=####
- www.a####.com.####.net/zh-cn?cid=####&tag=####&tracking_id=####
- www.c####.com.####.net/?allianceid=####&ouid=####&utm_medium=####&utm_ca...
- www.fe####.com/
- www.k####.com/?tag=####&__da_ae####
- www.lv####.com/?utm_sou####&source=####&cpsuid=####&tracking_code=####&s...
- www.s####.com/partner.html?loc=3&lang=23&partner=duomai_138600857&url=ht...
Запросы HTTP POST:
- api.appj####.com/appjiagu
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/Download-journal
- /data/data/####/Downloado
- /data/data/####/Downloado-journal
- /data/data/####/Log-journal
- /data/data/####/Logo
- /data/data/####/Logo-journal
- /data/data/####/config.xml
- /data/data/####/configo.xml
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/f_000004
- /data/data/####/f_000005
- /data/data/####/f_000006
- /data/data/####/f_000007
- /data/data/####/f_000008
- /data/data/####/f_000009
- /data/data/####/f_00000a
- /data/data/####/f_00000b
- /data/data/####/f_00000c
- /data/data/####/f_00000d
- /data/data/####/index
- /data/data/####/jiagu.lock
- /data/data/####/libjiagu.so
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/.android.dat
- /data/media/####/.android.dat-journal
- /data/media/####/id
- /data/media/####/logo.png
- /data/media/####/urg.nanguotegonf.dex
- /data/media/####/urg.nanguotegong.dex
Другие:
Загружает динамические библиотеки:
- jiagu
- libjiagu
Использует следующие алгоритмы для шифрования данных:
- DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CFB-NoPadding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
