Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.DownLoader.511.origin
Осуществляет доступ к приватному интерфейсу ITelephony.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) fap.zfse####.cn:80
- TCP(HTTP/1.1) da####.c####.qini####.com:80
- TCP(HTTP/1.1) a.appj####.com:80
- TCP(HTTP/1.1) s####.apptor####.com:80
- TCP(TLS/1.0) api.face####.com:443
- TCP(TLS/1.0) d####.fl####.com:443
- TCP(TLS/1.0) googl####.g.doublec####.net:443
- TCP(TLS/1.0) pag####.googles####.com:443
- TCP(TLS/1.0) tpc.googles####.com:443
Запросы DNS:
- a.appj####.com
- cdn.img.p####.top
- d####.fl####.com
- fap.zfse####.cn
- g####.face####.com
- googl####.g.doublec####.net
- pag####.googles####.com
- s####.apptor####.com
- tpc.googles####.com
Запросы HTTP GET:
- da####.c####.qini####.com/upload/201809/25/img/20180925182241271.png
Запросы HTTP POST:
- a.appj####.com/ad-service/ad/mark
- fap.zfse####.cn/data/count
- fap.zfse####.cn/ts/image/sec
- fap.zfse####.cn/ts/list_icons/sec
- s####.apptor####.com/api/pb?action=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.YFlurrySenderIndex.info.AnalyticsData_HVSSMSZ7...VC_216
- /data/data/####/.YFlurrySenderIndex.info.AnalyticsMain
- /data/data/####/.jg.ic
- /data/data/####/.yflurrydatasenderblock.0434233f-c495-4f4e-9a93...b3b1eb
- /data/data/####/.yflurryreport.-5dd5e1dd0c343351
- /data/data/####/AppEventsLogger.persistedsessioninfo
- /data/data/####/ApplicationCache.db-journal
- /data/data/####/FBAdPrefs.xml
- /data/data/####/FLURRY_SHARED_PREFERENCES.xml
- /data/data/####/SDKIDFA.xml
- /data/data/####/ab_pref_int.xml
- /data/data/####/ab_sdk_pref.xml
- /data/data/####/admob.xml
- /data/data/####/ads1353441176.jar
- /data/data/####/com.appbrain.ping
- /data/data/####/com.facebook.ads.FEATURE_CONFIG.xml
- /data/data/####/com.facebook.internal.preferences.APP_SETTINGS.xml
- /data/data/####/com.facebook.sdk.appEventPreferences.xml
- /data/data/####/com.facebook.sdk.attributionTracking.xml
- /data/data/####/com.mamba.crackscrenn.free_preferences.xml
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/f_000004
- /data/data/####/index
- /data/data/####/jg_app_update_settings_random.xml
- /data/data/####/libjiagu.so
- /data/data/####/qq.xml
- /data/data/####/t_u.db-journal
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/c4229935f64f5
- /data/media/####/c4229935f64f5.tmp
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/files/libjiagu.so
Загружает динамические библиотеки:
- libjiagu
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
