Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.RemoteCode.127.origin
Осуществляет доступ к приватному интерфейсу ITelephony.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) sh.wagbr####.aliyun####.com:80
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(HTTP/1.1) bj####.j####.cn:80
- TCP(TLS/1.0) m.mm####.com:443
- TCP(TLS/1.0) api.s####.com:443
- TCP(TLS/1.0) i####.mm####.com:443
- TCP(TLS/1.0) hotfix####.aliy####.com:443
- TCP(TLS/1.0) gd-s####.j####.cn:443
- TCP(TLS/1.0) t####.j####.cn:443
- UDP s.j####.cn:19000
- TCP 1####.230.236.37:7000
Запросы DNS:
- a####.man.aliy####.com
- ali-s####.j####.cn
- and####.b####.qq.com
- api.mm####.com
- api.s####.com
- bj####.j####.cn
- gd-s####.j####.cn
- hotfix####.aliy####.com
- i####.mm####.com
- m.mm####.com
- s.j####.cn
- t####.j####.cn
Запросы HTTP GET:
- bj####.j####.cn/v1/appawake/status?uid=####&appkey=####&model=####&manuf...
Запросы HTTP POST:
- and####.b####.qq.com/rqd/async?aid=####
- sh.wagbr####.aliyun####.com/man/api?ak=####&s=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/03d50988-c899-49c1-9251-a0d00af24394
- /data/data/####/0e4553b5b0bf8e2945bb8164ed30042007cccd31f49798d....0.tmp
- /data/data/####/1004
- /data/data/####/10e19b26711a05e1aa7e9029830ff0242269044f152c683....0.tmp
- /data/data/####/1596cecb2de7aa529e508eb7410fe7299531d1a11c5688f....0.tmp
- /data/data/####/192bc7f9a2d8064a685b150ae6f743af346f97652f11b66....0.tmp
- /data/data/####/1d1abc840a8a6aea02f5ce214933e08400eedf1b4a8eb23....0.tmp
- /data/data/####/1faf8813f700ec95bae7b7b1045a7e01e43349eca7c4f43....0.tmp
- /data/data/####/1fb5309f4b91fc897e8598fe2e48e7e51472dc54d05b38c....0.tmp
- /data/data/####/205951f1a4b6b04bf6f924870bd4dd0bc8336eb50a1907a....0.tmp
- /data/data/####/262061a1f6ee4f1cf853b7d9707771a442e0de30b392101....0.tmp
- /data/data/####/369ca0e02308213904a4e3c33b809def0ef910e504595a7....0.tmp
- /data/data/####/3f7a01ac4dffd048cdce3d91dd945f6b5d4d74bd13c0bdf....0.tmp
- /data/data/####/4196699cb55b4329c133ae3a75bf302ac54b32f34924793....0.tmp
- /data/data/####/4549683ba7de7af3778c7588c6ee36f5d19bb1200ce0918....0.tmp
- /data/data/####/4d4f024e-01da-4a65-a27f-d4c8d2176040
- /data/data/####/578ed2b67b86614718a32c1962c2777876984bc8c581c13....0.tmp
- /data/data/####/57ca9befa90e4483dd6bf842d99e32dc3b445f7321d622c....0.tmp
- /data/data/####/5892d59dc9e1d2ea007f9cfb2cedc2f9a5bf40efa1ebe2a....0.tmp
- /data/data/####/5981bd26-cc31-4348-9c39-a786eceb15ad
- /data/data/####/59d39c1a7623982a9ba0c05b1ff1b4286f3c9f8a1bf612a....0.tmp
- /data/data/####/5a7e60ff-d913-4376-9cdc-c7a29fe1d632
- /data/data/####/5d0e72720f071f1e0b5efaa126e8ff44d5d76e866a232cf....0.tmp
- /data/data/####/5fd7a185635da95b54fe000c8b031898b0c33b4d549cfad....0.tmp
- /data/data/####/64b09aba101bf019ae5316dd6a310a7694d7ff1866637a1....0.tmp
- /data/data/####/64c07d218d57f626b955a71ba3d81c6db744a693efeab0e....0.tmp
- /data/data/####/6534a1aad176de7ecfcb0d8f8c1479b5294c87b840e9a5a....0.tmp
- /data/data/####/692f8ecb20b3b96069ec6e09aa8358ccfed998e19eec6ee....0.tmp
- /data/data/####/69b5548d445bb3d421b48cd643c0e963c98b80cb4d3850d....0.tmp
- /data/data/####/6d4a4339eb5198ed6adf14710bd80d65c2239e482375b14....0.tmp
- /data/data/####/6e00989d0924326bcc6fa329948be9452ef3fa955bb1db8....0.tmp
- /data/data/####/7483224b8b437603c1dd7ef451748a750291b7df960c8b7....0.tmp
- /data/data/####/76ff2c80bc335309e995c2fe0025e449f4ff63cd9b9bd6c....0.tmp
- /data/data/####/83b2a484d3d8b7ce4756bf1e6c6b501e441693e921305ec....0.tmp
- /data/data/####/84fc7a0c3243e142db738758cf9ee471e7fafcfc87ff137....0.tmp
- /data/data/####/853523bd1a7e7cb23d85be0e5419969d02cd012ac8529af....0.tmp
- /data/data/####/87362e3c-365e-4d6b-8949-a7c97df0f99b
- /data/data/####/8aafcf8a152b92d4b9cf845a5e68578b8532d66c8381e37....0.tmp
- /data/data/####/8e01e8812bfacb05291366b512e3fea21125a49b44a32b4....0.tmp
- /data/data/####/94396d02cec5d80c10e9c65643c30b29a918a2b2afbac51....0.tmp
- /data/data/####/9a51d1cb0f17e27dd1584bd89459e4ac16cafd16cff820b....0.tmp
- /data/data/####/9df403f3ee12eb4aafb967303d886d4c9614709f0e7df63....0.tmp
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/HYKJ.xml
- /data/data/####/JPushSA_Config.xml
- /data/data/####/a1be0d336a7bf87bef02c1502a21655102034d54e1ef4ae....0.tmp
- /data/data/####/a3a00026004606a4ea97f3daea9f6b2318d6d7c7edd1fb1....0.tmp
- /data/data/####/a8bbcf18e13a93d11f279fd90186dabe6ac881cfdfab60d....0.tmp
- /data/data/####/appPackageNames_v2
- /data/data/####/b0b067ac64e5d84941835c44891466a8750d2639f0c018c....0.tmp
- /data/data/####/b24624f4108bc54a7e7545c61173d068af9d8d7813630f9....0.tmp
- /data/data/####/b2d455db3f8fa931f714fd491c10bac09ede45d7117eee2....0.tmp
- /data/data/####/b37691ca6c149ec52e9f2cba4d4d5255b7bc390a7068366....0.tmp
- /data/data/####/b493bf2d941ac0c29d6411a13c202b769e785eadaa85c2f....0.tmp
- /data/data/####/b5c8b6f06478c754b3247b1a5440084cf439b9b6b8d7737....0.tmp
- /data/data/####/b693ce2ae602b2a8b74849a0e85122b2fb404f4b0db5ce1....0.tmp
- /data/data/####/b81a9910-323e-4a8d-a704-d798c84ebb10
- /data/data/####/b83fd4e950462b13d93e29b536d6301452658330aa20dae....0.tmp
- /data/data/####/ba835985f8f91aa859345c55aa89aef881c60b0ca95591a....0.tmp
- /data/data/####/bugly_db_-journal
- /data/data/####/c1c90368f9d606398402bd18de860ca6d95d898b67712d3....0.tmp
- /data/data/####/c413b1a82480bee798a744498de7713cbfc33249f1237fc....0.tmp
- /data/data/####/c4af96c114c8075f0b9b30baf6a85643096327d2c6d7576....0.tmp
- /data/data/####/c7bfc517d0fb308c6efd23d49d8431d27a49369ffb2851a....0.tmp
- /data/data/####/cb712ea898f9a46f5f7e7a6947c46cea7202596de277bf2....0.tmp
- /data/data/####/cbb24137aabb8f27edc04d686781d0c59f5389e557a7225....0.tmp
- /data/data/####/cf5d037c3f56a1a25b0d6217962120e54023c649f59be0b....0.tmp
- /data/data/####/cn.jpush.android.user.profile.xml
- /data/data/####/cn.jpush.preferences.v2.rid.xml
- /data/data/####/cn.jpush.preferences.v2.xml
- /data/data/####/crashrecord.xml
- /data/data/####/d0a58c7b56997e7730e70b8dd27829686e8769e0bdbe932....0.tmp
- /data/data/####/d76f50ba27b27f03d22282cb758d5d0c6fe8b3e1e5a7bb2....0.tmp
- /data/data/####/dd51065ba9818afe3aa2cfded7ae07b858d2b9135220254....0.tmp
- /data/data/####/ed71f82c48f0101cfe2cf7d459ea9a4457f158f895a7b8c....0.tmp
- /data/data/####/ed792b8fa2de61361ee085740cdfad477bb2f7c709333fc....0.tmp
- /data/data/####/f9262c4d6de77ea23de818b19fd4e3e9f1331fba43067d9....0.tmp
- /data/data/####/fbc18207a4736e0776162333a14ea8fe2d56c10cf391ea3....0.tmp
- /data/data/####/fc15eae64a7b18fccc0fc7937baa1c96e3c7f50087d05ff....0.tmp
- /data/data/####/journal.tmp
- /data/data/####/jpush_device_info.xml
- /data/data/####/jpush_stat_cache.json
- /data/data/####/jpush_stat_cache_history.json
- /data/data/####/libjiagu-1531832050.so
- /data/data/####/local_crash_lock
- /data/data/####/native_record_lock
- /data/data/####/security_info
- /data/data/####/sobot_chat_20190202_log.txt
- /data/data/####/sobot_config.xml
- /data/data/####/sobot_config.xml.bak
- /data/data/####/sp_sophix.xml
- /data/media/####/.push_deviceid
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/ads.png
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop
- getprop
- ps
Загружает динамические библиотеки:
- Bugly
- jcore127
- libjiagu-1531832050
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-GCM-NoPadding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS7Padding
- AES-GCM-NoPadding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
