Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.DownLoader.743.origin
- Android.DownLoader.850.origin
Осуществляет доступ к приватному интерфейсу ITelephony.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) pub####.any####.com:80
- TCP(HTTP/1.1) en.any####.com:80
- TCP(HTTP/1.1) pus.al####.com:80
- TCP(HTTP/1.1) loc.map.b####.com:80
- TCP(HTTP/1.1) pss.al####.com:80
- TCP(TLS/1.0) api.any####.com:443
- TCP(TLS/1.0) pns.al####.com:443
- TCP(TLS/1.0) l####.4####.top:443
- TCP(TLS/1.0) 1####.217.20.78:443
Запросы DNS:
- a####.u####.com
- api.any####.com
- en.any####.com
- l####.4####.top
- loc.map.b####.com
- pns.al####.com
- pss.al####.com
- pub####.any####.com
- pus.al####.com
Запросы HTTP GET:
- en.any####.com/plugin/xunfeispeech/x86_xunfeispeech.apk
- pub####.any####.com/download/SdkTheme/CardTheme/CartOne.zip
- pub####.any####.com/download/SdkTheme/CardTheme/theme.js
- pub####.any####.com/download/SdkTheme/CountDownTheme/CountDownOne.zip
- pub####.any####.com/download/SdkTheme/CountDownTheme/theme.js
- pub####.any####.com/download/SdkTheme/DiaryTheme/DiaryOne.zip
- pub####.any####.com/download/SdkTheme/DiaryTheme/theme.js
- pub####.any####.com/download/SdkTheme/IndesignTheme/IndesignOne.zip
- pub####.any####.com/download/SdkTheme/IndesignTheme/theme.js
- pub####.any####.com/download/SdkTheme/PictureStoryTheme/PictureStoryOne....
- pub####.any####.com/download/SdkTheme/PictureStoryTheme/theme.js
- pub####.any####.com/download/SdkTheme/TodoTheme/TodoOne.zip
- pub####.any####.com/download/SdkTheme/TodoTheme/theme.js
- pus.al####.com/kernal/sdkcontrol/vod_android-mobile_x86_9.1.1.1220.jpg
Запросы HTTP POST:
- a####.u####.com/app_logs
- loc.map.b####.com/offline_loc
- loc.map.b####.com/sdk.php
- pss.al####.com/iku/log/acc
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.DS_Store
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/1.jpg
- /data/data/####/2.jpg
- /data/data/####/3.jpg
- /data/data/####/4.jpg
- /data/data/####/4f2c9c39-6c12-4c3d-86cc-c6382cc7ab4c
- /data/data/####/5.jpg
- /data/data/####/785856d4-6938-4488-9e85-d87e521af591.jar
- /data/data/####/back_up.png
- /data/data/####/background_default.jpg
- /data/data/####/backgroundimg.png
- /data/data/####/base.css
- /data/data/####/base.js
- /data/data/####/bg.png
- /data/data/####/bgDown.png
- /data/data/####/bgDowntop.png
- /data/data/####/bgLeft.png
- /data/data/####/bgRight.png
- /data/data/####/bgTop.png
- /data/data/####/bg_bottom.jpg
- /data/data/####/bg_done.png
- /data/data/####/bg_todo.png
- /data/data/####/browsedPage.js
- /data/data/####/btn_add_activation.png
- /data/data/####/btn_add_h1.png
- /data/data/####/btn_add_h2.png
- /data/data/####/btn_add_line.png
- /data/data/####/btn_add_newmess.png
- /data/data/####/btn_add_pic.png
- /data/data/####/btn_add_text.png
- /data/data/####/btn_close.png
- /data/data/####/btn_cut.png
- /data/data/####/btn_delete.png
- /data/data/####/btn_deletetodo.png
- /data/data/####/btn_luy_a.png
- /data/data/####/btn_luy_b.gif
- /data/data/####/btn_move.png
- /data/data/####/btn_picture.png
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/color.png
- /data/data/####/com.czdsjhgy.jkhft_preferences.xml
- /data/data/####/cover_acquiesce.jpg
- /data/data/####/cover_beauty_imagination.png
- /data/data/####/cover_blue_forest.png
- /data/data/####/cover_default.png
- /data/data/####/cover_diary.jpg
- /data/data/####/cover_excerpt.jpg
- /data/data/####/cover_family.jpg
- /data/data/####/cover_fantasy_fishbowl.png
- /data/data/####/cover_feeling.jpg
- /data/data/####/cover_flower_field.png
- /data/data/####/cover_learn.jpg
- /data/data/####/cover_lovely_bird.png
- /data/data/####/cover_music_door.png
- /data/data/####/cover_rectangle.png
- /data/data/####/cover_sushi_tower.png
- /data/data/####/cover_watercolor.png
- /data/data/####/cover_working.jpg
- /data/data/####/defoult.png
- /data/data/####/done.png
- /data/data/####/editPage.js
- /data/data/####/edit_icon_mood_amazed.png
- /data/data/####/edit_icon_mood_angry.png
- /data/data/####/edit_icon_mood_fascination.png
- /data/data/####/edit_icon_mood_happy.png
- /data/data/####/edit_icon_mood_kiss.png
- /data/data/####/edit_icon_mood_sigh.png
- /data/data/####/edit_icon_mood_silence.png
- /data/data/####/edit_icon_mood_sleep.png
- /data/data/####/edit_icon_mood_stupefied.png
- /data/data/####/edit_icon_mood_sweat.png
- /data/data/####/edit_icon_mood_unhappy.png
- /data/data/####/edit_icon_mood_wept.png
- /data/data/####/edit_icon_wether_brume.png
- /data/data/####/edit_icon_wether_drizzly.png
- /data/data/####/edit_icon_wether_greatsnow.png
- /data/data/####/edit_icon_wether_hail.png
- /data/data/####/edit_icon_wether_haze.png
- /data/data/####/edit_icon_wether_heavyrain.png
- /data/data/####/edit_icon_wether_litterovercast.png
- /data/data/####/edit_icon_wether_moderaterain.png
- /data/data/####/edit_icon_wether_moderatesnow.png
- /data/data/####/edit_icon_wether_overcast.png
- /data/data/####/edit_icon_wether_scouther.png
- /data/data/####/edit_icon_wether_shower.png
- /data/data/####/edit_icon_wether_sleet.png
- /data/data/####/edit_icon_wether_sunny.png
- /data/data/####/edit_icon_wether_thunderstorm.png
- /data/data/####/editor_look.js
- /data/data/####/end.png
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/export.js
- /data/data/####/export_note.js
- /data/data/####/firll.dat
- /data/data/####/icon_btn_addtodo.png
- /data/data/####/icon_btn_cancel.png
- /data/data/####/icon_edit.png
- /data/data/####/icon_location.png
- /data/data/####/icon_mark.png
- /data/data/####/icon_set_pic.png
- /data/data/####/img_splash_bg.png
- /data/data/####/index.css
- /data/data/####/index.html
- /data/data/####/index.js
- /data/data/####/info.json
- /data/data/####/jquery-1.11.3.min.js
- /data/data/####/jquery.event.ue.js
- /data/data/####/jquery.udraggable.js
- /data/data/####/libcuid.so
- /data/data/####/libjiagu-262970728.so
- /data/data/####/libmp3lame.so
- /data/data/####/libmsc.so
- /data/data/####/libpcdn_acc.zip
- /data/data/####/list_disc.woff
- /data/data/####/logo.png
- /data/data/####/mark_356507059351895.db
- /data/data/####/mark_356507059351895.db-journal
- /data/data/####/mess_bg.jpg
- /data/data/####/mivmi.xml
- /data/data/####/mivmi.xml.bak (deleted)
- /data/data/####/new_browster.js
- /data/data/####/new_editer_5_2_5.js
- /data/data/####/notdone.png
- /data/data/####/ofl.config
- /data/data/####/ofl_location.db
- /data/data/####/ofl_location.db-journal
- /data/data/####/ofl_statistics.db
- /data/data/####/ofl_statistics.db-journal
- /data/data/####/pcdnconfigs.xml
- /data/data/####/pic_bottom.png
- /data/data/####/pic_bottom_pen.png
- /data/data/####/pic_digest_down.png
- /data/data/####/pic_digest_top.png
- /data/data/####/pic_head.png
- /data/data/####/pic_loading.png
- /data/data/####/pic_mod.jpg
- /data/data/####/play_audio.png
- /data/data/####/remind_false.png
- /data/data/####/remind_true.png
- /data/data/####/rendering.png
- /data/data/####/select.png
- /data/data/####/share_common_v1.js
- /data/data/####/text_bg.png
- /data/data/####/theme.js
- /data/data/####/thumbnail.jpg
- /data/data/####/tool_edit_img.css
- /data/data/####/tool_theme.css
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/v1.png
- /data/data/####/video_look_v7.js
- /data/data/####/vmeni.db-journal
- /data/data/####/voice_playenter.png
- /data/data/####/voice_playing.png
- /data/data/####/web_edit_v3.10.js
- /data/data/####/x86_xunfeispeech.apk
- /data/data/####/yinji_common.js
- /data/data/####/zhezhao.png
- /data/media/####/.cuid
- /data/media/####/.cuid2
- /data/media/####/.nomedia
- /data/media/####/CartOne.zip
- /data/media/####/CountDownOne.zip
- /data/media/####/DiaryOne.zip
- /data/media/####/DigestTheme.zip
- /data/media/####/ExportOne.zip
- /data/media/####/IndesignOne.zip
- /data/media/####/PictureStoryOne.zip
- /data/media/####/Roboto-Light-subset.ttf
- /data/media/####/TheClassic.zip
- /data/media/####/TheFavorite.zip
- /data/media/####/TheOne.zip
- /data/media/####/TheWhite.zip
- /data/media/####/TodoOne.zip
- /data/media/####/cardo.ttf
- /data/media/####/conlts.dat
- /data/media/####/dadhand.ttf
- /data/media/####/def.ttf
- /data/media/####/kai.ttf
- /data/media/####/ller.dat
- /data/media/####/ls.db
- /data/media/####/ls.db-journal
- /data/media/####/quicksand.ttf
- /data/media/####/test.0
- /data/media/####/x86_xunfeispeech.apk
- /data/media/####/xingkai.ttf
- /data/media/####/young.ttf
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu-262970728.so
- ls -l /system/bin/su
Загружает динамические библиотеки:
- libjiagu-262970728
- locSDK6a
- pcdn_acc
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
