Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Moplus.1
Осуществляет доступ к приватному интерфейсу ITelephony.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) sdk.o####.p####.####.com:80
- TCP(HTTP/1.1) wap.n.sh####.com:80
- TCP(HTTP/1.1) rs.eas####.com:80
- TCP(HTTP/1.1) www.m####.com:80
- TCP(HTTP/1.1) res####.a####.com:80
- TCP(HTTP/1.1) 3####.97.9.53:80
- TCP(TLS/1.0) ope####.b####.com:443
- TCP sdk.o####.t####.####.com:5224
- TCP c####.g####.ig####.com:5225
Запросы DNS:
- api####.a####.com
- c####.g####.ig####.com
- m.b####.com
- ope####.b####.com
- res####.a####.com
- rs.eas####.com
- sdk.o####.p####.####.com
- sdk.o####.t####.####.com
- www.m####.com
Запросы HTTP GET:
- rs.eas####.com/easemob/server.json?sdk_version=####&app_key=####&file_ve...
- www.m####.com/api/v4/config/splashScreen?clientInfo=####&sign=####&timeS...
- www.m####.com/api/v4/coupon/get/689a37ef03bc83986f45165fbe190c45/2?clien...
Запросы HTTP POST:
- res####.a####.com/v3/config/resource?
- res####.a####.com/v3/log/init
- sdk.o####.p####.####.com/api.php?action=####&session_last=####&format=##...
- wap.n.sh####.com/open/iasdk?cuid=####&cua=####&cut=####&sdfrom=####&lcid...
- wap.n.sh####.com/xcloudboss?r=####&pkgname=####&ver=####&pu=####
- wap.n.sh####.com/xcloudboss?r=####&type=####
- www.m####.com/api/v4/device/getui
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/com.mayi.android.shortrent.push_sync.xml
- /data/data/####/com.mayi.android.shortrent_preferences.xml
- /data/data/####/config.json
- /data/data/####/dbInfo.xml
- /data/data/####/device_id.xml.xml
- /data/data/####/download.db-journal
- /data/data/####/gxdbapp.db-journal
- /data/data/####/gxsdkdb.db
- /data/data/####/gxsdkdb.db-journal
- /data/data/####/last_known_location.xml
- /data/data/####/libjiagu.so
- /data/data/####/mayi.db
- /data/data/####/mayi.db-journal
- /data/data/####/mayi_trace.sqlite-journal
- /data/data/####/moplus_psetting.xml
- /data/data/####/moplus_server_config.db-journal
- /data/data/####/multidex.version.xml
- /data/data/####/mystatus.db-journal
- /data/data/####/pst.xml
- /data/data/####/push_manager_cache.xml
- /data/data/####/server.json
- /data/data/####/short_rent.sqlite-journal
- /data/data/####/shortrent-location.db
- /data/data/####/stop.lock
- /data/data/####/tj.xml
- /data/media/####/.cuid
- /data/media/####/.nomedia
- /data/media/####/1lh3fzdlhlaqgotxo3qyi1k1.0.tmp
- /data/media/####/1rayrxi69jxmbmlwren55jdtp.0.tmp
- /data/media/####/1uhxzja4fojw2cxho4kzppq1f.0.tmp
- /data/media/####/24fzhai3yv3rxtre4n107vqqo.0.tmp
- /data/media/####/28e80p62nc1fnjfkwvej4idhq.0.tmp
- /data/media/####/2a1o7jgqt2wjf4cc812od55lw.0.tmp
- /data/media/####/2cqfvr03430vde9h7ex8ssbw9.0.tmp
- /data/media/####/2ea0j1k8zyxe1axvy3fsxijvv.0.tmp
- /data/media/####/2wbdnpdm8obdczwrcrmd8hm58.0.tmp
- /data/media/####/324d058u8v6ycwooxqbqdujrb.0.tmp
- /data/media/####/3d0g37ys3w8pxaqjmpj1rcq3f.0.tmp
- /data/media/####/46ofl2k701yig1bxfeji6uy8f.0.tmp
- /data/media/####/49ky5vcus6mqyffr4j3e17mmt.0.tmp
- /data/media/####/4p4bfvu7wzvr2sgb0mgol3x3b.0.tmp
- /data/media/####/4pbrvkpvasemppvfu28ecy2lo.0.tmp
- /data/media/####/4z3yrn19n0ar0crhv4dymqjur.0.tmp
- /data/media/####/50whi1z57yurnpqjzsy8xq1il.0.tmp
- /data/media/####/5qcg0gs5sotih5d60plkyutyo.0.tmp
- /data/media/####/621y4hmz4fc5dgobemmxsmwux.0.tmp
- /data/media/####/631h1k6tjgz8s7x88zhfwpxpp.0.tmp
- /data/media/####/6b1vi8j9cr518f2qj9iazn48f.0.tmp
- /data/media/####/6gwuxsf0mgjlnlgyrrbf6m8fi.0.tmp
- /data/media/####/6hn1gwidjjagzjhjqns0guoc1.0.tmp
- /data/media/####/6mj3vzsj6hwhsik3begr7tf7y.0.tmp
- /data/media/####/6pj9dif3duf9tj8fd7vuhuv95.0.tmp
- /data/media/####/6y00cucbd8qsl3youk4m04q5z.0.tmp
- /data/media/####/7a035gz60ops5r29afphufzbv.0.tmp
- /data/media/####/7bfa6pjkoe3bflpvh5n23ssx.0.tmp
- /data/media/####/7icboejmuye3on6afncmcgqi7.0.tmp
- /data/media/####/app.db
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/com.mayi.android.shortrent.db
- /data/media/####/imsi.db
- /data/media/####/journal
- /data/media/####/journal.tmp
- /data/media/####/pjywqj26tos1ej56u2y5b7s5.0.tmp
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/files/libjiagu.so
Загружает динамические библиотеки:
- hyphenate
- hyphenate_av
- libjiagu
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-ECB-PKCS5Padding
- AES-ECB-ZeroBytePadding
- RSA-ECB-PKCS1Padding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Получает информацию об отправленых/принятых SMS.
