Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.DownLoader.3887
Осуществляет доступ к приватному интерфейсу ITelephony.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) c.xz####.com:3350
- TCP(HTTP/1.1) p.rqco####.com:8806
- TCP(HTTP/1.1) cdn.1####.wang:80
- TCP(HTTP/1.1) loc.map.b####.com:80
- TCP(HTTP/1.1) ub####.baidust####.com:80
- TCP(TLS/1.0) cpu.b####.com:443
- TCP(TLS/1.0) s####.map.b####.com:443
- TCP(TLS/1.0) api.ksap####.com:443
- TCP(TLS/1.0) et2-na6####.wagbr####.ali####.####.com:443
- TCP(TLS/1.0) s####.j####.cn:443
- TCP(TLS/1.0) wn.pos.b####.com:443
- TCP(TLS/1.0) res####.a####.com:443
- TCP(TLS/1.0) publish####.b####.com.####.com:443
- TCP(TLS/1.0) hk.wagbr####.non####.####.com:443
- UDP s.j####.cn:19000
- TCP 1####.121.49.67:7002
Запросы DNS:
- amap####.cn-hang####.oss####.####.com
- ap####.ksap####.com
- c.xz####.com
- cdn.1####.wang
- cpu.b####.com
- fex.bdst####.com
- loc.map.b####.com
- log.u####.com
- p.rqco####.com
- publish####.b####.com
- res####.a####.com
- s####.j####.cn
- s####.map.b####.com
- s####.u####.com
- s.j####.cn
- sis.j####.io
- ub####.baidust####.com
- wn.pos.b####.com
- y####.al####.com
Запросы HTTP GET:
- cdn.1####.wang/sc_160
- p.rqco####.com:8806/c/1550165820419
- ub####.baidust####.com/media/v1/0f0000mXMe_xtUeXsKSaW0.jpg
Запросы HTTP POST:
- c.xz####.com:3350/s/
- loc.map.b####.com/offline_loc
- loc.map.b####.com/sdk.php
- p.rqco####.com:8806/p/1550165821091
- p.rqco####.com:8806/t/1550165830172
- p.rqco####.com:8806/t/1550165832148
- p.rqco####.com:8806/t/1550165843471
- p.rqco####.com:8806/t/1550165843734
- p.rqco####.com:8806/t/1550165850808
- p.rqco####.com:8806/t/1550165851060
- p.rqco####.com:8806/t/1550165856874
- p.rqco####.com:8806/t/1550165857128
- p.rqco####.com:8806/t/1550165866571
- p.rqco####.com:8806/t/1550165876546
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/0129866753182.0
- /data/data/####/0a231bd8575dcf72.txt
- /data/data/####/12117875589567.0
- /data/data/####/13126857713105.0
- /data/data/####/14105856978573.0
- /data/data/####/1550165815614.log
- /data/data/####/17111847308402.0
- /data/data/####/19102944305646.0
- /data/data/####/2117881027152.0
- /data/data/####/21c22f492aba3de8.lock
- /data/data/####/2263071729933.0
- /data/data/####/2275986942385.0
- /data/data/####/26111849939785.0
- /data/data/####/2678890936347.0
- /data/data/####/2690908859988.0
- /data/data/####/27105871284157.0
- /data/data/####/2872881786313.0
- /data/data/####/29126860232134.0
- /data/data/####/3063099629566.0
- /data/data/####/3078888015731.0
- /data/data/####/3099859843972.0
- /data/data/####/3481875730380.0
- /data/data/####/37114859628423.0
- /data/data/####/3C125F504E2ED7AE01A6F26D7D29F54B.jar
- /data/data/####/3C125F504E2ED7AE01A6F26D7D29F54B.tmp
- /data/data/####/4270025126134.0
- /data/data/####/4381899651132.0
- /data/data/####/5075994766456.0
- /data/data/####/5084858546928.0
- /data/data/####/5108992285773.0
- /data/data/####/5123899519627.0
- /data/data/####/56120875327163.0
- /data/data/####/5788128963226.0
- /data/data/####/58120880834095.0
- /data/data/####/6114854744424.0
- /data/data/####/6672884269103.0
- /data/data/####/6696855490848.0
- /data/data/####/6870022166243.0
- /data/data/####/688119766336.0
- /data/data/####/7129863724728.0
- /data/data/####/796852374042.0
- /data/data/####/80108988117559.0
- /data/data/####/8102947525856.0
- /data/data/####/8493926672282.0
- /data/data/####/89123911315365.0
- /data/data/####/9193922418243.0
- /data/data/####/930a31b34bd52c08.lock
- /data/data/####/9384855732243.0
- /data/data/####/9490928910374.0
- /data/data/####/9799862863112.0
- /data/data/####/DVDirectory.cfg
- /data/data/####/DVHotMap.cfg
- /data/data/####/DVHotcity.cfg
- /data/data/####/DVVersion.cfg
- /data/data/####/JPushSA_Config.xml
- /data/data/####/Q0VSVC5SU0EK.txt8e5
- /data/data/####/ResPack.rs
- /data/data/####/SGMANAGER_DATA2.tmp
- /data/data/####/appPackageNames
- /data/data/####/authStatus_com.zcbl.bjjj_driving.xml
- /data/data/####/bjjj_driving.xml
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/cn.jpush.android.user.profile.xml
- /data/data/####/cn.jpush.preferences.v2.xml
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/dc374f27dd9f7231
- /data/data/####/firll.dat
- /data/data/####/hmdb
- /data/data/####/hmdb-journal
- /data/data/####/index
- /data/data/####/journal
- /data/data/####/journal.tmp
- /data/data/####/jpush_device_info.xml
- /data/data/####/jpush_local_notification.db
- /data/data/####/jpush_local_notification.db-journal
- /data/data/####/jpush_stat_cache.json
- /data/data/####/jpush_stat_cache_history.json
- /data/data/####/jpush_statistics.db
- /data/data/####/jpush_statistics.db-journal
- /data/data/####/kqqisi
- /data/data/####/libjiagu1235782530.so
- /data/data/####/libsgmainso-5.3.38.so.tmp
- /data/data/####/lock.lock
- /data/data/####/logdb.db
- /data/data/####/logdb.db-journal
- /data/data/####/mapstyle.sty
- /data/data/####/mobclick_agent_cached_com.zcbl.bjjj_driving28
- /data/data/####/multidex.version.xml
- /data/data/####/ofl.config
- /data/data/####/ofl_location.db
- /data/data/####/ofl_location.db-journal
- /data/data/####/ofl_statistics.db
- /data/data/####/ofl_statistics.db-journal
- /data/data/####/pref.xml
- /data/data/####/satellitestyle.sty
- /data/data/####/sp.lock
- /data/data/####/tempfile
- /data/data/####/trafficstyle.sty
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_socialize.xml
- /data/data/####/ver.dat
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/.cuid
- /data/media/####/.nomedia
- /data/media/####/.push_deviceid
- /data/media/####/040658F8881E0408FF7B98AA81A95241.tmp
- /data/media/####/12C7961CB5B83BD7E7EEE311908428C6.tmp
- /data/media/####/1C6A117A09AC2343F320E3233B69F554.tmp
- /data/media/####/49D310E59CA2582BDA811D8AFFA01D66.tmp
- /data/media/####/73B0405DE3976AC4D9B3F310FFF59815.tmp
- /data/media/####/76A829965ADC606BC5A6DCDE6DACD335.tmp
- /data/media/####/83CA467DFAAE8EC76F482F3D34E2BA1D.tmp
- /data/media/####/922912013579B6E9C6F27FCEB7D3462E.tmp
- /data/media/####/9D7D64570B33AD52C68EF7E3CAEAE074.tmp
- /data/media/####/AF77310DF28E0DA92960409A2F05F149.tmp
- /data/media/####/D0005B1FFC55BF8126C4047DEA83EC0A.tmp
- /data/media/####/E7716EC9DE289D0282DBD0B68298124A.tmp
- /data/media/####/EEDF9D871E5B9527449145BB75A34791.tmp
- /data/media/####/adv
- /data/media/####/als.db
- /data/media/####/als.db-journal
- /data/media/####/config
- /data/media/####/conlts.dat
- /data/media/####/dd7893586a493dc3
- /data/media/####/deviceId
- /data/media/####/hid.dat
- /data/media/####/journal.tmp
- /data/media/####/ller.dat
- /data/media/####/ls.db
- /data/media/####/ls.db-journal
- /data/media/####/master
- /data/media/####/master.lock
- /data/media/####/test.0
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu1235782530.so
- chmod 777 <Package Folder>/files/dc374f27dd9f7231
Загружает динамические библиотеки:
- BaiduMapSDK_v3_5_0_15
- ZCBLData
- jpush216
- libjiagu1235782530
- locSDK6a
- sgmainso-5.3
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-NoPadding
- AES-CBC-PKCS5Padding
- DES-CBC-PKCS5Padding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-NoPadding
- AES-CBC-PKCS5Padding
- DES-CBC-PKCS5Padding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
