Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Dowgin.14.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.you####.com:80
- TCP(HTTP/1.1) d2.ireader####.com:80
- TCP(HTTP/1.1) d1.ireader####.com:80
- TCP(TLS/1.0) www.ireader####.com:443
- TCP(TLS/1.0) and####.cli####.go####.com:443
Запросы DNS:
- a####.you####.com
- and####.cli####.go####.com
- d1.ireader####.com
- d2.ireader####.com
- fb.u####.com
- si.mi.smxy####.com
- www.ireader####.com
Запросы HTTP GET:
- a####.you####.com/sx/GetConfigInfo.aspx?ver=####&passID=####&ver=####&cl...
- d1.ireader####.com/GoodBooks/Books/cover/2015-01-06/5902a6a0-7402-4952-a...
- d1.ireader####.com/GoodBooks/Books/cover/2015-03-25/40b53382-d5b1-4da6-9...
- d1.ireader####.com/GoodBooks/Books/cover/2015-03-27/78d45d57-f42c-4f58-9...
- d1.ireader####.com/GoodBooks/Books/cover/2015-04-08/4e47ce6e-0056-4cb8-9...
- d1.ireader####.com/GoodBooks/Books/cover/2015-07-10/d3031be2-76ab-4230-b...
- d1.ireader####.com/GoodBooks/Books/cover/2015-07-16/a43bdd12-f2fa-40fd-8...
- d1.ireader####.com/GoodBooks/Books/cover/2015-07-28/36ba05af-7865-4266-9...
- d1.ireader####.com/GoodBooks/Books/cover/2015-10-13/83323147-1886-41ab-a...
- d1.ireader####.com/GoodBooks/Books/cover/2015-11-30/0360c239-83c4-4ea5-a...
- d1.ireader####.com/GoodBooks/Books/cover/2015-12-25/c3f6a761-6b51-4103-9...
- d1.ireader####.com/GoodBooks/Books/cover/2016-01-25/01b2df02-7063-44be-a...
- d1.ireader####.com/GoodBooks/Books/cover/2016-06-01/9fe4c463-67a8-4e33-b...
- d1.ireader####.com/GoodBooks/Books/cover/2016-08-03/c37f8acc-59fc-45eb-8...
- d1.ireader####.com/GoodBooks/Books/cover/2016-08-26/8ed95684-3895-460c-b...
- d1.ireader####.com/GoodBooks/Books/cover/2016-12-13/dc4a67fe-ab70-4659-8...
- d1.ireader####.com/GoodBooks/Books/cover/2017-03-17/9d5ed745-ebe3-434b-b...
- d1.ireader####.com/GoodBooks/Books/cover/2017-05-15/bb8e084a-6c5d-49d0-8...
- d1.ireader####.com/GoodBooks/Books/cover/2017-09-11/74419d21-5e8e-463d-9...
- d1.ireader####.com/GoodBooks/Books/cover/2018-01-08/da8de92a-e8ad-44b6-b...
- d1.ireader####.com/GoodBooks/Books/cover/2018-05-16/108d74ce-79c7-4aad-a...
- d1.ireader####.com/GoodBooks/Books/cover/2018-09-21/b4ee7221-2a18-4388-a...
- d2.ireader####.com/GoodBooks/Books/cover/2015-04-18/f4ab4e56-681b-461f-b...
- d2.ireader####.com/GoodBooks/Books/cover/2015-07-16/a43bdd12-f2fa-40fd-8...
- d2.ireader####.com/GoodBooks/Books/cover/2015-07-29/d1b48f7d-865e-414f-8...
- d2.ireader####.com/GoodBooks/Books/cover/2015-10-12/b2958f52-0e73-4daf-a...
- d2.ireader####.com/GoodBooks/Books/cover/2016-04-10/e595ad98-34fd-4111-a...
- d2.ireader####.com/GoodBooks/Books/cover/2016-05-20/c731b34d-0bf0-471a-a...
- d2.ireader####.com/GoodBooks/Books/cover/2016-06-03/d82b82f5-9ef1-427d-9...
- d2.ireader####.com/GoodBooks/Books/cover/2016-08-19/be534156-6525-4ff8-a...
- d2.ireader####.com/GoodBooks/Books/cover/2016-09-02/db8aa85f-6f2e-45c9-a...
- d2.ireader####.com/GoodBooks/Books/cover/2016-11-09/3556029c-800c-4fff-8...
- d2.ireader####.com/GoodBooks/Books/cover/2016-11-09/8c6d3a00-b598-4e29-b...
- d2.ireader####.com/GoodBooks/Books/cover/2017-01-13/a98f4ae0-236b-4246-8...
- d2.ireader####.com/GoodBooks/Books/cover/2017-01-16/ca489811-a90f-4505-8...
- d2.ireader####.com/GoodBooks/Books/cover/2017-11-07/ac10bcfb-ce1b-4bc4-a...
- d2.ireader####.com/GoodBooks/Books/cover/2018-01-03/f22bebca-d5b4-4bbc-a...
- d2.ireader####.com/GoodBooks/Books/cover/2018-05-25/bcc25b6a-fb3a-43fb-b...
- d2.ireader####.com/GoodBooks/Books/cover/2018-08-07/5a695f01-f755-4d15-a...
- d2.ireader####.com/GoodBooks/Books/cover/2018-10-23/7a9d9868-999a-403e-8...
- d2.ireader####.com/GoodBooks/Books/cover/2018-12-08/48b0d690-840d-4082-8...
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/aireader_v2-journal
- /data/data/####/com.szknpj.bz.jar
- /data/data/####/com_ireader_city_you_qi.xml
- /data/data/####/efaf8d6.xml
- /data/data/####/ireader.db-journal
- /data/data/####/libjiagu.so
- /data/data/####/multidex.version.xml
- /data/data/####/umeng_feedback_conversations.xml
- /data/data/####/umeng_feedback_user_info.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_message_state.xml
- /data/data/####/webview.db-journal
- /data/data/####/www.ireadercity.com.443
- /data/media/####/.did
- /data/media/####/00127f475b5d4234a0c61fab974b72e1jpgx.tmp
- /data/media/####/0012bf86fc3048d5bffbd5a1261aab8fjpgx.tmp
- /data/media/####/001f3f1c90764206bd08d39879e12371jpgx.tmp
- /data/media/####/002c6c10ca8742f1b41a7d2cda314f83jpgx.tmp
- /data/media/####/0053878af73941be95a529167bc17201jpgx.tmp
- /data/media/####/01dde4a461f54bb4b541da11a23931e4jpgx.tmp
- /data/media/####/073e3df41d034534993f37b16013918ejpgx.tmp
- /data/media/####/186229440f0c4bd6a38517f0ea216b64jpgx.tmp
- /data/media/####/195427e8f31143a998c7cd18dec7711fjpgx.tmp
- /data/media/####/1ec0d71286f44aef94cd3af7fcea8383jpgx.tmp
- /data/media/####/21a26d93182e494685e9d3fa2ea6e8b0jpgx.tmp
- /data/media/####/38cad977393c446fac942b6baf85d919jpgx.tmp
- /data/media/####/415dfbb35548424dacb49f57711ba42ajpgx.tmp
- /data/media/####/4a957e5fd81d4e70802711da65d1d049jpgx.tmp
- /data/media/####/4be929a8dbbc4cbcb5f3278dc1a5d90djpgx.tmp
- /data/media/####/58c0f7a298524f3fa6bd1015e8eb1003jpgx.tmp
- /data/media/####/66802234ab2f45908c8fd5530a1dacc6jpgx.tmp
- /data/media/####/73abeaa3df1e44938bb6ea1271ea1ab8jpgx.tmp
- /data/media/####/73de259d5c9e463ba5b9f32e62fa1162jpgx.tmp
- /data/media/####/79a1a6cd92d34691b119bf59a6eaa572jpgx.tmp
- /data/media/####/7eab450f3dbf4270a7cc5a221d8a3204jpgx.tmp
- /data/media/####/7f8064ae989b4f05bf28042e81ca7ab9jpgx.tmp
- /data/media/####/86511a5b117b430db5a476e314916f93jpgx.tmp
- /data/media/####/86ae57c9b3ab49eb95056ef2385aa8e1jpgx.tmp
- /data/media/####/8f3b9a3faa854b258bcb7a2bb6af82b5jpgx.tmp
- /data/media/####/8f3b9a3faa854b258bcb7a2bb6af82b5jpgx_bak
- /data/media/####/91a8a7aa93b4447189fee159910d7390jpgx.tmp
- /data/media/####/91a8a7aa93b4447189fee159910d7390jpgx_bak
- /data/media/####/957a92816aa4498a91332a3e41d73814jpgx.tmp
- /data/media/####/99d1d80d234149e6aeb01c5337c24a29jpgx.tmp
- /data/media/####/9e4bb332b872472998bc4febf90d41fbjpgx.tmp
- /data/media/####/9f8951d1d7ae468ea66b7268a03d0871jpgx.tmp
- /data/media/####/9fa764030f08482897eeee3a09535f8cjpgx.tmp
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/a8045d6e6cac434597ceef8e05cdcb7ajpgx.tmp
- /data/media/####/aa4bcbd99914495e98473704fc8b7ca2jpgx.tmp
- /data/media/####/b426908ab92c42539db0ea424e24bce8jpgx.tmp
- /data/media/####/bb72266d6ea24c07a31c475318cdac28jpgx.tmp
- /data/media/####/c5bb3dee29b34fd489a926177f677dc6jpgx.tmp
- /data/media/####/config.data
- /data/media/####/e6bfb375052f466086342102d72d189cjpgx.tmp
- /data/media/####/f6c15d2598824ad398db321208aae1f9jpgx.tmp
- /data/media/####/f843924154ba4d678f956def8b6c13b9jpgx.tmp
- /data/media/####/home_infos_1.dat
- /data/media/####/home_infos_2.dat
- /data/media/####/import.dat
- /data/media/####/releated_list_8f3b9a3faa854b258bcb7a2bb6af82b5.dat
- /data/media/####/releated_list_91a8a7aa93b4447189fee159910d7390.dat
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
Загружает динамические библиотеки:
- libjiagu
- smssdk
Использует следующие алгоритмы для шифрования данных:
- AES
- AES-CBC-PKCS5Padding
- DES
Использует следующие алгоритмы для расшифровки данных:
- AES
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию о привязанных к устройству аккаунтах (Google, Facebook и т. д.).
Отрисовывает собственные окна поверх других приложений.
