Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.DownLoader.683.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) tinyq####.ove####.b0.####.com:80
- TCP(HTTP/1.1) ser####.e####.a####.com:80
- TCP(HTTP/1.1) thi####.q####.cn:80
- TCP(TLS/1.0) ser####.e####.a####.com:443
- TCP(TLS/1.0) 2####.58.212.206:443
- TCP(TLS/1.0) k####.onetwo####.top:443
Запросы DNS:
- au.u####.co
- au.u####.com
- cdn.img.p####.top
- fb.u####.com
- i####.dl.l####.net
- k####.onetwo####.top
- q.q####.cn
- ser####.e####.a####.com
- ser####.kv.dandanj####.tv
- thi####.q####.cn
- thi####.q####.cn
- wx.q####.cn
Запросы HTTP GET:
- ser####.e####.a####.com/online/params?package_name=####
- thi####.q####.cn/mmopen/7I2la6x4tcXRvJ9Af8e6fIO3oSPc5oabElU5Do4gbKpRErBd...
- thi####.q####.cn/mmopen/vi_32/EZr3CguKS7G1MibA568gqiccmU495g1bgunhmnzjtA...
- thi####.q####.cn/mmopen/vi_32/ceibQWQJRaYDrqmFzmFcEic30kADq4cMU7NxexuQID...
- thi####.q####.cn/mmopen/vi_32/vSZF8DEZF3F3r5b77fNXscbVHuic23qxkyweHxpRXZ...
- thi####.q####.cn/qqapp/1104903893/B91EA8EFE5CBEA55D343B758971123E6/100
- thi####.q####.cn/qqapp/1105679814/6A212920ABB59223CA816D9E6D33597E/100
- thi####.q####.cn/qqapp/1105679814/EAA2E07C1B694CF91C0788499276D43D/100
- thi####.q####.cn/qqapp/1105679814/F6278A52C38EC56C8121CE8DEB674F59/100
- tinyq####.ove####.b0.####.com/emoji/dandan/57c0eb5cda76f71df7fbf720?imag...
- tinyq####.ove####.b0.####.com/emoji/dandan/58a19d149a1aa314ecab5ca7?imag...
- tinyq####.ove####.b0.####.com/emoji/dandan/58b59cce2549597a41be44f8?imag...
- tinyq####.ove####.b0.####.com/emoji/dandan/58c6142b2549597a31ac87fe?imag...
- tinyq####.ove####.b0.####.com/emoji/dandan/593453e32549591fd4ae865d?imag...
- tinyq####.ove####.b0.####.com/emoji/dandan/596f473f2549594dc19d91b2?imag...
- tinyq####.ove####.b0.####.com/emoji/dandan/5a61c9249a1aa35e4a849024?imag...
- tinyq####.ove####.b0.####.com/emoji/dandan/5a932a299a1aa35dd44c7a61?imag...
- tinyq####.ove####.b0.####.com/emoji/dandan/5acc6c2a2549593bb47767a9?imag...
- tinyq####.ove####.b0.####.com/emoji/dandan/5b25212d2549590ae571f6d7?imag...
- tinyq####.ove####.b0.####.com/emoji/dandan/5b3f052d9a1aa35baefb70fb?imag...
- tinyq####.ove####.b0.####.com/emoji/duowan/570c2dba0a576283ce1d5fbc?imag...
- tinyq####.ove####.b0.####.com/emoji/egg/5819ba5c2549590f995312f2?imageVi...
- tinyq####.ove####.b0.####.com/emoji/egg/584a78d92549590f4a0dc455?imageVi...
- tinyq####.ove####.b0.####.com/emoji/egg/584a78d92549590f8c348224?imageVi...
- tinyq####.ove####.b0.####.com/emoji/egg/584a78d92549590f99531612?imageVi...
- tinyq####.ove####.b0.####.com/emoji/egg/584a78da2549590f3d7ae83b?imageVi...
- tinyq####.ove####.b0.####.com/emoji/egg/584a78da2549590f5753412a?imageVi...
- tinyq####.ove####.b0.####.com/emoji/egg/584a78da2549590f713c3347?imageVi...
- tinyq####.ove####.b0.####.com/emoji/egg/584a78da2549590f7fe4b591?imageVi...
- tinyq####.ove####.b0.####.com/emoji/egg/584a78da2549590fa55b14fa?imageVi...
- tinyq####.ove####.b0.####.com/emoji/egg/58575b652549590f3d7ae85b?imageVi...
- tinyq####.ove####.b0.####.com/emoji/egg/58575b652549590f4a0dc46a?imageVi...
- tinyq####.ove####.b0.####.com/emoji/egg/58575b652549590f713c3375?imageVi...
- tinyq####.ove####.b0.####.com/emoji/egg/58575b652549590f7fe4b5c5?imageVi...
- tinyq####.ove####.b0.####.com/emoji/egg/58575b652549590f8c34823f?imageVi...
- tinyq####.ove####.b0.####.com/emoji/egg/58575b652549590fa55b152a?imageVi...
- tinyq####.ove####.b0.####.com/emoji/egg/58575b662549590f5753416c?imageVi...
- tinyq####.ove####.b0.####.com/emoji/egg/58575b662549590fb40cb928
- tinyq####.ove####.b0.####.com/emoji/egg/58575b662549590fb40cb928?imageVi...
- tinyq####.ove####.b0.####.com/emoji/egg/589945082549590f4a0dc69f?imageVi...
- tinyq####.ove####.b0.####.com/emoji/egg/59190eba25495975998fcc95?imageVi...
- tinyq####.ove####.b0.####.com/emoji/egg/59758ef32549590e8b9277f8?imageVi...
- tinyq####.ove####.b0.####.com/emoji/egg/59796afc2549590e7b608658?imageVi...
- tinyq####.ove####.b0.####.com/emoji/egg/598c2bcb2549590e2f25b2a6?imageVi...
- tinyq####.ove####.b0.####.com/emoji/egg/59afb32e2549590e6c6a4fe5?imageVi...
- tinyq####.ove####.b0.####.com/emoji/egg/59f2f90d2549590eb0718393?imageVi...
- tinyq####.ove####.b0.####.com/emoji/egg/5a2912522549590ea0cbd6ef?imageVi...
- tinyq####.ove####.b0.####.com/emoji/egg/5a7ad1672549590eb071858e?imageVi...
- tinyq####.ove####.b0.####.com/emoji/egg/5a99042b25495969fc646fb9?imageVi...
- tinyq####.ove####.b0.####.com/emoji/egg/5ac4910625495969ccdc9955?imageVi...
- tinyq####.ove####.b0.####.com/emoji/egg/5ac9efbe2549596a3f8e9ccd?imageVi...
- tinyq####.ove####.b0.####.com/emoji/egg/5b0bb37d25495912e4594949?imageVi...
- tinyq####.ove####.b0.####.com/emoji/egg/5b556a572549591268545e9f?imageVi...
- tinyq####.ove####.b0.####.com/emoji/egg/5b6ac26425495942a0bed4b8?imageVi...
- tinyq####.ove####.b0.####.com/emoji/egg/5b7a8b3c254959438f1c8188?imageVi...
- tinyq####.ove####.b0.####.com/emoji/egg/5b8fa8af25495943f4cdfe91?imageVi...
- tinyq####.ove####.b0.####.com/emoji/egg/5bd2cf5525495943f4cdffc5?imageVi...
- tinyq####.ove####.b0.####.com/emoji/egg/5bd6bc2225495943f4cdffe7?imageVi...
- tinyq####.ove####.b0.####.com/emoji/egg/5bebee922549591dc9106bf9?imageVi...
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/03lhXqojzfLm18zTPWwUsD_JeTM.-244139356.tmp
- /data/data/####/0wtH5Sb1C7Rh8EEJPEWgEGsNs9o.861163253.tmp
- /data/data/####/1THXrvVnaZ-bbBUax5wANZvJgqc.36384791.tmp
- /data/data/####/4ioN6x6P9tqP0EqpNbvGTVcKxY8.-219509656.tmp
- /data/data/####/6gKdLHvVrv3_55npVOCqDFPObLA.1403525522.tmp
- /data/data/####/7A1PfUHqp6DIlqnfM_IsQgqw5iw.738818771.tmp
- /data/data/####/7AvJ_v0wNAP64pc93h_yINe64po.1646935846.tmp
- /data/data/####/8EHdB6-izeSt7V1bj4tOWbzVpGc.1417528646.tmp
- /data/data/####/ARmktQf6Y85h7c0xMn7R1DcoNMY.1406244153.tmp
- /data/data/####/Alvin2.xml
- /data/data/####/AppStore.xml
- /data/data/####/BdBeoblf32wmM0dr-Ai7djV7gDQ.365748262.tmp
- /data/data/####/C1qC9u-Hhz7ZFuk3K7R_VV09hsw.-1874496415.tmp
- /data/data/####/ContextData.xml
- /data/data/####/DIbsh2b9Vxyq-sEo5JOtxAMENzs.-1847028451.tmp
- /data/data/####/ElCKrzMlTMkjXgEaENKjLGunHfI.-1556400226.tmp
- /data/data/####/F7pNr8-skC16yluoKHgQ7ZdTTjA.1319312254.tmp
- /data/data/####/G33hEcqKcf-uIh2aTyVbedqCy48.708258175.tmp
- /data/data/####/G_4Ksvzr3IS4dyrUbKsY2Vve4BE.187981910.tmp
- /data/data/####/G_uaSy67QE-pDbrxPL9m516HoaI.-1965640117.tmp
- /data/data/####/GvisOYM54clMv3v_YGCMbvCgSQ0.829391744.tmp
- /data/data/####/HN97AXmjuxoECyvIxkrl-1ToE84.-488746280.tmp
- /data/data/####/HRkhLvIVZDkVqFBVKHth2NJZUB0.-516716741.tmp
- /data/data/####/J0PHAUOZMItEHZEfEshPQixRGvY.1957753823.tmp
- /data/data/####/JPzp71EJ3Jc1KcL7BvA9-88kYTA.1137111016.tmp
- /data/data/####/NaDrB3R19jLNIhbyd2ek2IB-LlA.-338087998.tmp
- /data/data/####/OvAMMT4n0OUkgyww4KL0Qt15kIU.1245654175.tmp
- /data/data/####/Oys8DQCYaS6uquV-3C3Kliikv7w.-1317716606.tmp
- /data/data/####/QYGwRiLRybsgADEcUpapFxY5GAA.1231432228.tmp
- /data/data/####/QY_U9J3D6b-w-0umVSUkLSXAWmc.-7068713.tmp
- /data/data/####/S6kYY_qUBoSWs_u6_pbZpVG2BJU.577481183.tmp
- /data/data/####/TR9f0rSOGc5_ayHUUlynqaP-YAc.-1045375733.tmp
- /data/data/####/UmengLocalNotificationStore.db-journal
- /data/data/####/V8gqfiWraTNzVs4c1IxVOiB0x7A.-1672336437.tmp
- /data/data/####/WQPqLKsroCivpt22gYjR82bNXDE.-1984042982.tmp
- /data/data/####/WiYmdJoPeVbOCot2dLJHD63LSuc.-179479061.tmp
- /data/data/####/X-m-AgxwR3RgQIlo79AqUJott84.950708237.tmp
- /data/data/####/_3bk5HzUwS3K9DtScB3WvwC_7ho.-2125570832.tmp
- /data/data/####/_keWt6OrKEwx5L37uE41DfHORu0.-344590180.tmp
- /data/data/####/aYXQjCuPjUjj8VXb0BM9yBl9-nU.-610098337.tmp
- /data/data/####/bIihdpovlEXWx_RwWAqKQ71E4KU.-1913658180.tmp
- /data/data/####/bMlz5CuRIF3HC525y1Ky_FkAu_0.-411201579.tmp
- /data/data/####/bqIm8Qby2z1aGiMulLFe2mYNZ9Q.883317477.tmp
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/com.pgdhbq.app.jar
- /data/data/####/dalvik.system.DexClassLoader.xml
- /data/data/####/ebn.xml
- /data/data/####/gtKnLubAV3YqBSKTLUETbMwkgc4.1891114843.tmp
- /data/data/####/h21yhzLjenxhenwsmnqPChJ79Z4.-231352254.tmp
- /data/data/####/h8Oa2G2iAoGTb8-CLqnMBfxm7MM.303022582.tmp
- /data/data/####/h_81MJijhqvuf7jQko-rAb3mSLo.1359764641.tmp
- /data/data/####/hqZA3EMRZJ_vFNo9TGA1_6lrHUA.-445388258.tmp
- /data/data/####/kFFmwSQ5c3s6RaG9qo_m9W0gw0s.983953316.tmp
- /data/data/####/key_user_login
- /data/data/####/lDhVqtp8F7K4CdktWl2dsHM14Ys.2072353956.tmp
- /data/data/####/lRvdVCt7mQPd_rV_skjm0vpydws.969403900.tmp
- /data/data/####/libjiagu.so
- /data/data/####/mNLNcJTsZr_aiSEss7Ew90lkP6g.1366889553.tmp
- /data/data/####/mobclick_agent_cached_com.pgdhbq.app7
- /data/data/####/multidex.version.xml
- /data/data/####/online_params_pre.xml
- /data/data/####/peRZYATGPjvVW3Ke_GF54Nr0E6M.203843635.tmp
- /data/data/####/pqwn.db-journal
- /data/data/####/prVESG_fXs2wlqbEkPOVdcf0G-c.1158362312.tmp
- /data/data/####/pref_sharedpreferences.xml
- /data/data/####/qrdrXhnKUHlX1FDNPi9roYO1JLA.-1638949948.tmp
- /data/data/####/ruMRaQe74J0ZuWbn6AfMex7rTfk.1777252013.tmp
- /data/data/####/sNy5CsFGuddVugbZ1dWUAoeXHrk.-900931639.tmp
- /data/data/####/tOxfzIhlNRrH8ACozKfVlohynq8.382658577.tmp
- /data/data/####/u6xj5HE9NvOp5ZKDJmTP1nydaJk.-63304794.tmp
- /data/data/####/umeng_feedback_conversations.xml
- /data/data/####/umeng_feedback_user_info.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_message_state.xml
- /data/data/####/vzNJw2FSFrrWnAt0EJWSb9SmXes.975144432.tmp
- /data/data/####/yo4R6K0MkxYi3-zpxkOW25NZUNo.-1243288929.tmp
- /data/data/####/yzH52dlElQah_zuvNOHSMxFJNf8.1324628956.tmp
- /data/data/####/zGx1uFnzO3_GKKsdtsbWYJ3WBrE.1873922296.tmp
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/cover_share
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
Загружает динамические библиотеки:
- bspatch
- gifimage
- imagepipeline
- libjiagu
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- DES
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию о настроках APN.
Получает информацию о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
