Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.DownLoader.743.origin
Сетевая активность:
Подключается к:
- TCP(/ad/2.0/ad.bin?request_type=offerwall&placement=of_game&mcc=310&device_type=tablet&incentive=false&package=com.affefe.fdgg&aff=mobiapps&app_version=1.0&mac=&device_model=GT-I8190&event=r&sdkname=com.inappertising.ads&sdkversion=2.32.10-tech&carrier=Verizon&mnc=004&odin=b1392d4c3d7f1b0c3d24557014d37a9fccd9fcce&campaign=&device_manufacturer=unknown&created_date=create_date&platform=android&os=18&app=photogallery&ad_width=1&imei=356507059351895&ad_height=-1&connectionType=&device_id) ads.adecosy####.tech:80
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) s####.adecosy####.tech:8888
- TCP(HTTP/1.1) ads.adecosy####.tech:80
- TCP(TLS/1.0) ssl.gst####.com:443
- TCP(TLS/1.0) www.go####.com:443
- TCP(TLS/1.0) mobilep####.pass####.ya####.net:443
- TCP(TLS/1.0) re####.appmet####.ya####.net:443
- TCP(TLS/1.0) www.gst####.com:443
- TCP(TLS/1.0) sta####.mo####.ya####.net:443
Запросы DNS:
- ads.adecosy####.tech
- certifi####.mo####.ya####.net
- re####.appmet####.ya####.net
- s####.adecosy####.tech
- ssl.gst####.com
- sta####.mo####.ya####.net
- www.go####.com
- www.gst####.com
Запросы HTTP GET:
- ads.adecosy####.tech/
- ads.adecosy####.tech/ad/2.0/ad.bin?request_type=####&placement=####&mcc=...
Запросы HTTP POST:
- s####.adecosy####.tech:8888/track
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/AdsProviderImplModern.CACHE.xml
- /data/data/####/MultiDex.lock
- /data/data/####/SharedPreferencesFile.xml
- /data/data/####/com.adeco.adsdk.ads.util.shfhasdhfhf.xml
- /data/data/####/com.affefe.fdgg_boundentrypreferences.xml
- /data/data/####/com.affefe.fdgg_migrationpreferences.xml
- /data/data/####/com.affefe.fdgg_servertimeoffset.xml
- /data/data/####/com.affefe.fdgg_startupserviceinfopreferences.xml
- /data/data/####/com.google.app.PreloadService.spf.xml
- /data/data/####/com.inappertising.ads.mediation.Ads.GlobalSettings.xml
- /data/data/####/credentials.dat
- /data/data/####/db_metrica_com.affefe.fdgg-journal
- /data/data/####/db_metrica_com.affefe.fdgg_13-journal
- /data/data/####/db_metrica_com.affefe.fdgg_20799a27-fa80-4b36-b...ournal
- /data/data/####/libjiagu957326308.so
- /data/data/####/metrica_client_data.db
- /data/data/####/metrica_client_data.db-journal
- /data/data/####/metrica_client_data.db.lock
- /data/data/####/metrica_data.db-journal
- /data/data/####/multidex.version.xml
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/webviewCookiesChromiumPrivate.db-journal
- /data/data/####/x.xml
- /data/media/####/.server
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /proc/cpuinfo
- chmod 755 <Package Folder>/.jiagu/libjiagu957326308.so
Загружает динамические библиотеки:
- YandexMetricaNativeModule
- crashhandler
- libjiagu957326308
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS7Padding
- DES
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- DES
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
