Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Backdoor.657.origin
Осуществляет доступ к приватному интерфейсу ITelephony.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) 47.97.2####.214:80
- TCP(HTTP/1.1) s####.e.qq.com:80
- TCP(HTTP/1.1) 1####.31.213.162:80
- TCP(TLS/1.0) 2####.58.212.174:443
- TCP(TLS/1.0) api.e####.cn:443
Запросы DNS:
- api.e####.cn
- mi.g####.qq.com
- s####.e.qq.com
Запросы HTTP POST:
- s####.e.qq.com/activate
Изменения в файловой системе:
Создает следующие файлы:
- /data/anr/traces.txt
- /data/cn.zaocancaipu/####/046f5ae97f62877bae4a8d0f98f47cea.xml
- /data/cn.zaocancaipu/####/MsgLogStore.db
- /data/cn.zaocancaipu/####/webview.db
- /data/data/####/.jg.ic
- /data/data/####/046f5ae97f62877bae4a8d0f98f47cea.xml
- /data/data/####/3483.yaqcookie
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/MessageStore.db
- /data/data/####/MessageStore.db-journal
- /data/data/####/MsgLogStore.db-journal
- /data/data/####/cn.ecook.xml
- /data/data/####/dexMethod.36117467.dat
- /data/data/####/gdt_plugin.jar
- /data/data/####/gdt_plugin.jar.sig
- /data/data/####/info.xml
- /data/data/####/libjiagu-344000067.so
- /data/data/####/libyaqbasic.36117467.so
- /data/data/####/libyaqpro.36117467.so
- /data/data/####/log.android.library.xml
- /data/data/####/multidex.version.xml
- /data/data/####/qihoo_jiagu_crash_report.xml
- /data/data/####/um_pri.xml
- /data/data/####/umeng_common_config.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_message_state.xml
- /data/data/####/update_lc
- /data/data/####/webview.db-journal
- /data/data/####/yaqsdkcookie
- /data/media/####/.nomedia
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /drw/cmds/10043.3353.1422abe3-f2c7-37ad-aa15-ec2ffdba33c1.stdout.txt
- /drw/cmds/10043.3353.1422abe3-f2c7-37ad-aa15-ec2ffdba33c1.txt
- /drw/cmds/10043.3353.d8fa4949-b56a-3ae6-92b9-5cbd79ee7ca0.txt
- /drw/crypto/10043.3353.encrypt.AES-CBC-PKCS5Padding.ef12f502-65...ck.txt
- /drw/crypto/10043.3353.encrypt.AES-CBC-PKCS5Padding.ef12f502-65...e.dump
- /drw/crypto/10043.3353.encrypt.RSA-ECB-PKCS1Padding.a39fb5d6-f2...c.dump
- /drw/crypto/10043.3353.encrypt.RSA-ECB-PKCS1Padding.a39fb5d6-f2...ck.txt
- /drw/dvm_dumps/10043.3353.raw_array.03922bebb6a240e04c5cbc57770...ck.txt
- /drw/dvm_dumps/10043.3353.raw_array.03922bebb6a240e04c5cbc57770...ct.dex
- /drw/dvm_dumps/10043.3353.raw_array.b1f674e5f8e7c8e0dd63d6187fb...ck.txt
- /drw/dvm_dumps/10043.3353.raw_array.b1f674e5f8e7c8e0dd63d6187fb...ct.dex
Другие:
Запускает следующие shell-скрипты:
- cat /sys/class/net/wlan0/address
- ls /sys/class/thermal
Загружает динамические библиотеки:
- libjiagu-344000067
- libyaqbasic.36117467
- libyaqpro.36117467
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-ECB-PKCS7Padding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- RSA-ECB-PKCS1Padding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Осуществляет доступ к интерфейсу камеры.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Отрисовывает собственные окна поверх других приложений.
Управляет Wi-Fi-подключением.
