Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Backdoor.657.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) reso####.msg.xi####.net:80
- TCP(HTTP/1.1) LB-IM-1####.ap-sout####.elb.####.com:80
- TCP(TLS/1.0) 1####.217.17.78:443
- TCP(TLS/1.0) regi####.xm####.xi####.com:443
- TCP 47.74.1####.157:5222
- TCP 4####.62.94.2:5222
Запросы DNS:
- LB-IM-1####.ap-sout####.elb.####.com
- regi####.xm####.xi####.com
- reso####.msg.xi####.net
Запросы HTTP GET:
- LB-IM-1####.ap-sout####.elb.####.com/gslb/?ver=####&type=####&connpt=###...
- reso####.msg.xi####.net/gslb/?ver=####&type=####&connpt=####&uuid=####&l...
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jiagu.ls
- /data/data/####/cn.jpush.preferences.v2.xml
- /data/data/####/com.ymall.presentshop;pushservice
- /data/data/####/libjiagu.so
- /data/data/####/local.db-journal
- /data/data/####/mipush.xml
- /data/data/####/mipush_account.xml
- /data/data/####/mipush_extra.xml
- /data/data/####/pref_registered_pkg_names.xml
Другие:
Загружает динамические библиотеки:
- jpush205
- libjiagu
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
