Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.DownLoader.3394
Осуществляет доступ к приватному интерфейсу ITelephony.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) c.appj####.com:80
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) www.bai####.com:80
- TCP(HTTP/1.1) api.meimeng####.com:80
- TCP(HTTP/1.1) wx.q####.cn:80
- TCP(HTTP/1.1) n####.wu####.com:80
- TCP(HTTP/1.1) m.meimeng####.com:80
- TCP(HTTP/1.1) 0d077ef####.cdn.so####.com:80
- TCP(HTTP/1.1) tu.baixin####.com:80
- TCP(HTTP/1.1) gs.a.s####.com:80
- TCP(HTTP/1.1) gdv.a.s####.com:80
- TCP(HTTP/1.1) www.s####.net:80
- TCP(TLS/1.0) gs.a.s####.com:443
- TCP(TLS/1.0) gd.a.s####.com:443
Запросы DNS:
- 0d077ef####.cdn.so####.com
- a####.u####.com
- api.meimeng####.com
- c.appj####.com
- chan####.itc.cn
- chan####.s####.com
- downloa####.pan####.net
- e.chan####.s####.com
- fb.u####.com
- m.meimeng####.com
- n####.wu####.com
- tu.bai####.com
- www.bai####.com
- www.s####.net
- wx.q####.cn
Запросы HTTP GET:
- 0d077ef####.cdn.so####.com/qY8a0Zb_png
- api.meimeng####.com/api/homelist?version=####&versionName=####&from=####
- gdv.a.s####.com/api/2/config/get/cys2qO5q7?callback=####
- gdv.a.s####.com/api/2/topic/comments?callback=####&client_id=####&page_s...
- gdv.a.s####.com/api/2/user/info?callback=####&client_id=####&login_termi...
- gdv.a.s####.com/api/3/topic/liteload?callback=jQuery17010536252381280065...
- gdv.a.s####.com/api/gold/prop/all_props?callback=####&_=####
- gdv.a.s####.com/api/gold/prop/comments_prop?cmt_ids=####&callback=####&_...
- gdv.a.s####.com/api/gold/user/get_coins?callback=####&client_id=####&_=#...
- gdv.a.s####.com/debug/cookie?callback=####
- gdv.a.s####.com/debug/cookie?callback=####&_=####
- gdv.a.s####.com/debug/cookie?callback=####&setCook####&_=####
- gdv.a.s####.com/debug/cookie?setCook####&callback=####&Mon Feb####
- gdv.a.s####.com/stat/event?clientid=####&uuid=####&topicId=####&type=####
- gdv.a.s####.com/stat/uvstat?callback=####&client_id=####&uuid=####&platf...
- gdv.a.s####.com/upload/mobile/wap-js/changyan_mobile.js?client_id=####&c...
- gdv.a.s####.com/upload/version-v3.js?1549874####
- gs.a.s####.com//mdevp/extensions/longloop/002/longloop.js?_=####
- gs.a.s####.com/mdevp/extensions/mobile-auto-recommand/013/mobile-auto-re...
- gs.a.s####.com/mdevp/extensions/mobile-cmt-advert/020/mobile-cmt-advert.js
- gs.a.s####.com/mdevp/extensions/mobile-cmt-barrage/017/mobile-cmt-barrag...
- gs.a.s####.com/mdevp/extensions/mobile-cmt-box/051/mobile-cmt-box.js
- gs.a.s####.com/mdevp/extensions/mobile-cmt-float-bar/024/mobile-cmt-floa...
- gs.a.s####.com/mdevp/extensions/mobile-cmt-header/047/mobile-cmt-header.js
- gs.a.s####.com/mdevp/extensions/mobile-cmt-list/065/mobile-cmt-list.js
- gs.a.s####.com/mdevp/extensions/mobile-enter/046/mobile-enter.js
- gs.a.s####.com/mdevp/extensions/mobile-icp-tips/018/mobile-icp-tips.js
- gs.a.s####.com/mdevp/extensions/mobile-login-box/022/mobile-login-box.js
- gs.a.s####.com/mdevp/extensions/mobile-skin/025/mobile-skin.js
- gs.a.s####.com/mdevp/extensions/mobile-task/015/mobile-task.js
- gs.a.s####.com/mdevp/extensions/mobile-user-center/046/mobile-user-cente...
- gs.a.s####.com/v3/v20190202973/src/adapter.min.js
- gs.a.s####.com/v3/v20190202973/src/start.min.js
- m.meimeng####.com/api/picfavors/1d9d6026-86b4-45b7-a0c1-32672d8726ce?ver...
- m.meimeng####.com/assets/application-12dd570c1abb34a8cd0bc12b5b805a930ba...
- m.meimeng####.com/assets/application-8b725d8a2d3ed399d1f132a380c436ce0ad...
- m.meimeng####.com/heads/02.png
- m.meimeng####.com/heads/1.jpg
- m.meimeng####.com/heads/10.jpg
- m.meimeng####.com/heads/12_1.png
- m.meimeng####.com/heads/13.jpg
- m.meimeng####.com/heads/2.jpg
- m.meimeng####.com/heads/2_1.png
- m.meimeng####.com/heads/3.jpg
- m.meimeng####.com/heads/33.png
- m.meimeng####.com/heads/3_1.png
- m.meimeng####.com/heads/6.jpg
- m.meimeng####.com/heads/6.png
- m.meimeng####.com/heads/66.png
- m.meimeng####.com/heads/7.jpg
- m.meimeng####.com/heads/7.png
- m.meimeng####.com/mobile/cyapigetuserinfo?callback=####&_=####
- m.meimeng####.com/mobile/piccomment/1d9d6026-86b4-45b7-a0c1-32672d8726ce...
- m.meimeng####.com/sliders/390ea966-d28e-4e86-a29e-906366789e95/origin.jpg
- m.meimeng####.com/sliders/a5d16f87-9408-48e6-80e1-db8529e62850/origin.jpg
- m.meimeng####.com/sliders/e71c990e-7316-4f8a-a987-48020503dcc2/origin.jpg
- m.meimeng####.com/sliders/eeef1c70-9ca3-42ac-95e4-3817fc23275e/origin.jpg
- m.meimeng####.com/ups/187e3dde-5989-4ab1-9855-1e4b3b358b17/origin.jpg
- m.meimeng####.com/ups/1d9d6026-86b4-45b7-a0c1-32672d8726ce/origin.jpg
- m.meimeng####.com/ups/428af24d-d1e2-4e41-bf83-cf553b68153a/origin.jpg
- m.meimeng####.com/ups/9b1e86d0-2fa6-46ba-8c94-6985d7af7b33/origin.jpg
- n####.wu####.com/banner/js/sspjs.js
- tu.baixin####.com/widget/script/zl-dybanner539.js?autosize=####&size=####
- www.bai####.com/c/ev/bxad?action=adwidget-err&mes=TypeError: Cannot read...
- wx.q####.cn/mmopen/6Qu8icngHHOwsWfLvWN6Z0AYZn1pWACNM99a3DyNMuEK81q8O5kDj...
- wx.q####.cn/mmopen/vi_32/d5TeNFwscHKuspTDLYmibwQ6ibEN9ZOAVELLB7bOcVA2TSH...
Запросы HTTP POST:
- a####.u####.com/app_logs
- api.meimeng####.com/api/anonymous
- c.appj####.com/ad/splash/stats.html
- www.s####.net/Mini/niouy.action?key=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/ad_show_time.xml
- /data/data/####/com.wsjtd.enmagao_preferences.xml
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/f_000004
- /data/data/####/f_000005
- /data/data/####/f_000006
- /data/data/####/f_000007
- /data/data/####/f_000008
- /data/data/####/f_000009
- /data/data/####/f_00000a
- /data/data/####/index
- /data/data/####/jg_app_update_settings_random.xml
- /data/data/####/libjiagu.so
- /data/data/####/mobclick_agent_cached_com.wsjtd.enmagao10
- /data/data/####/mobclick_agent_online_setting_com.wsjtd.enmagao.xml
- /data/data/####/umeng_feedback_conversations.xml
- /data/data/####/umeng_feedback_user_info.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/-12144589710.tmp
- /data/media/####/-14477941600.tmp
- /data/media/####/-1544876670.tmp
- /data/media/####/-17494868610.tmp
- /data/media/####/-19372361160.tmp
- /data/media/####/-19721107720.tmp
- /data/media/####/-1983355980.tmp
- /data/media/####/-1983413020.tmp
- /data/media/####/-19967046230.tmp
- /data/media/####/-20073471180.tmp
- /data/media/####/-2020353860.tmp
- /data/media/####/-20234810280.tmp
- /data/media/####/-2029589070.tmp
- /data/media/####/-2670438880.tmp
- /data/media/####/-6725454970.tmp
- /data/media/####/-7612035130.tmp
- /data/media/####/-8184675190.tmp
- /data/media/####/.nomedia
- /data/media/####/1.png.sc
- /data/media/####/1128.jpg.sc
- /data/media/####/1128.png.sc
- /data/media/####/13532597130.tmp
- /data/media/####/1504.png.sc
- /data/media/####/1530.png.sc
- /data/media/####/1554.png.sc
- /data/media/####/15619160820.tmp
- /data/media/####/15743960860.tmp
- /data/media/####/1606.jpg.sc
- /data/media/####/1606.png.sc
- /data/media/####/1677.png.sc
- /data/media/####/17095085450.tmp
- /data/media/####/1773.png.sc
- /data/media/####/1799.png.sc
- /data/media/####/2.png.sc
- /data/media/####/2049.jpg.sc
- /data/media/####/2049.png.sc
- /data/media/####/2149.jpg.sc
- /data/media/####/2149.png.sc
- /data/media/####/2183.jpg.sc
- /data/media/####/2183.png.sc
- /data/media/####/2229.png.sc
- /data/media/####/2279.png.sc
- /data/media/####/2298.png.sc
- /data/media/####/2417.png.sc
- /data/media/####/2423_f60.png.sc
- /data/media/####/2425.png.sc
- /data/media/####/2453.jpg.sc
- /data/media/####/2453.png.sc
- /data/media/####/2473.png.sc
- /data/media/####/2498.png.sc
- /data/media/####/2516.png.sc
- /data/media/####/2521.png.sc
- /data/media/####/2548.jpg.sc
- /data/media/####/2548.png.sc
- /data/media/####/2550.jpg.sc
- /data/media/####/2550.png.sc
- /data/media/####/2555.jpg.sc
- /data/media/####/2555.png.sc
- /data/media/####/2558.jpg.sc
- /data/media/####/2558.png.sc
- /data/media/####/2573.png.sc
- /data/media/####/2629.png.sc
- /data/media/####/2637.png.sc
- /data/media/####/2643.png.sc
- /data/media/####/2656.jpg.sc
- /data/media/####/2656.png.sc
- /data/media/####/2663.jpg.sc
- /data/media/####/2663.png.sc
- /data/media/####/2666.jpg.sc
- /data/media/####/2666.png.sc
- /data/media/####/2844.png.sc
- /data/media/####/2860.png.sc
- /data/media/####/2927.jpg.sc
- /data/media/####/2927.png.sc
- /data/media/####/2935.jpg.sc
- /data/media/####/2935.png.sc
- /data/media/####/2975.png.sc
- /data/media/####/3.png.sc
- /data/media/####/3037.jpg.sc
- /data/media/####/3037.png.sc
- /data/media/####/3038.jpg.sc
- /data/media/####/3038.png.sc
- /data/media/####/3106.png.sc
- /data/media/####/3108.png.sc
- /data/media/####/3109.png.sc
- /data/media/####/3111.png.sc
- /data/media/####/3118.png.sc
- /data/media/####/3123.png.sc
- /data/media/####/3148.png.sc
- /data/media/####/3149.png.sc
- /data/media/####/3163.png.sc
- /data/media/####/3166.png.sc
- /data/media/####/3180_f94.png.sc
- /data/media/####/3198.jpg.sc
- /data/media/####/3198.png.sc
- /data/media/####/3205.jpg.sc
- /data/media/####/3205.png.sc
- /data/media/####/3216.jpg.sc
- /data/media/####/3216.png.sc
- /data/media/####/3250.jpg.sc
- /data/media/####/3250.png.sc
- /data/media/####/3268_f229.png.sc
- /data/media/####/3274_f89.png.sc
- /data/media/####/3275_f157.png.sc
- /data/media/####/3276_f150.png.sc
- /data/media/####/3286.png.sc
- /data/media/####/3288.png.sc
- /data/media/####/3296.png.sc
- /data/media/####/3313.jpg.sc
- /data/media/####/3313.png.sc
- /data/media/####/3318.jpg.sc
- /data/media/####/3318.png.sc
- /data/media/####/3329.jpg.sc
- /data/media/####/3329.png.sc
- /data/media/####/3336.jpg.sc
- /data/media/####/3336.png.sc
- /data/media/####/3345.jpg.sc
- /data/media/####/3345.png.sc
- /data/media/####/3365.png.sc
- /data/media/####/3451.png.sc
- /data/media/####/3481.jpg.sc
- /data/media/####/3481.png.sc
- /data/media/####/3489.jpg.sc
- /data/media/####/3489.png.sc
- /data/media/####/3499_f88.png.sc
- /data/media/####/3556.png.sc
- /data/media/####/358.png.sc
- /data/media/####/38.png.sc
- /data/media/####/4.png.sc
- /data/media/####/431.png.sc
- /data/media/####/726.png.sc
- /data/media/####/847.png.sc
- /data/media/####/890.png.sc
- /data/media/####/journal.tmp
- /data/media/####/personhair1_f119.png.sc
- /data/media/####/personhair1_f153.png.sc
- /data/media/####/personhair1_f154.png.sc
- /data/media/####/personhair1_f182.png.sc
- /data/media/####/personhair1_f216.png.sc
- /data/media/####/personhair1_f220.png.sc
- /data/media/####/personhair1_f72.png.sc
- /data/media/####/personhair1_f82.png.sc
- /data/media/####/personhair1_f89.png.sc
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
Загружает динамические библиотеки:
- libjiagu
Использует следующие алгоритмы для шифрования данных:
- RSA
Использует следующие алгоритмы для расшифровки данных:
- AES-ECB-PKCS5Padding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Отрисовывает собственные окна поверх других приложений.
