Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.DownLoader.3307
- Android.DownLoader.611.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) 1####.24.101.108:80
- TCP(HTTP/1.1) trac####.m####.com:80
- TCP(HTTP/1.1) sdkco####.ad.xi####.com:80
- TCP(HTTP/1.1) w####.pcon####.com.cn:80
- TCP(HTTP/1.1) oc.u####.com:80
- TCP(HTTP/1.1) 1####.74.95.89:80
- TCP(HTTP/1.1) api.ad.xi####.com:80
- TCP(HTTP/1.1) gn.bule####.cn:6801
- TCP(HTTP/1.1) ip.ta####.com:80
Запросы DNS:
- a####.u####.com
- api.ad.xi####.com
- f5.ma####.mi####.com
- gn.bule####.cn
- int.d####.s####.####.cn
- ip.ta####.com
- oc.u####.com
- sdkco####.ad.xi####.com
- trac####.m####.com
- w####.pcon####.com.cn
Запросы HTTP GET:
- ip.ta####.com/service/getIpInfo.php?ip=####
- sdkco####.ad.xi####.com/api/checkupdate/lastusefulversion?currentApiVers...
- sdkco####.ad.xi####.com/api/detail/5a0d76b426bd66bf94b94e19a8719e41?ts=#...
- sdkco####.ad.xi####.com/api/detail/c67511f72113228b2d8d542e6416e3b0?ts=#...
Запросы HTTP POST:
- a####.u####.com/app_logs
- api.ad.xi####.com/union/fetchAds
- gn.bule####.cn:6801/bvmain.aspx
- gn.bule####.cn:6801/bvupload.aspx
- oc.u####.com/v2/check_config_update
- oc.u####.com/v2/get_update_time
- trac####.m####.com/track/v1
- w####.pcon####.com.cn/ip.jsp
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/AdServer_asset.apk
- /data/data/####/ReporterService.xml
- /data/data/####/VideoRes.apk
- /data/data/####/_miad_sdk_module_versions.xml
- /data/data/####/analytics.db-journal
- /data/data/####/analytics_asset.apk
- /data/data/####/apkloader.xml
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/com.huoshe.zzzddd.mi_prefs.xml
- /data/data/####/config.xml
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/heartbeat.xml
- /data/data/####/idb7242f87-945a-47bd-a6b4-b552e5cb0a9d.tmp
- /data/data/####/libanalytics.so
- /data/data/####/libas.so
- /data/data/####/libdu.so
- /data/data/####/libjiagu.so
- /data/data/####/onlineconfig_agent_online_setting_com.huoshe.zzzddd.mi.xml
- /data/data/####/policy.cache
- /data/data/####/qihoo_jiagu_crash_report.xml
- /data/data/####/requests.db-journal
- /data/data/####/shuzilm.db
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/updater.xml
- /data/data/####/video_db-journal
- /data/data/####/videokernel.apk
- /data/media/####/.nomedia
- /data/media/####/_driver.dat
- /data/media/####/_system.dat
- /data/media/####/id10768eaf5-b4e3-4845-936b-87fba97ad402.tmp
- /data/media/####/id10c3d9f5c-21d6-44a1-9e85-253ddf9477e8.tmp
- /data/media/####/id10c76c4f7-c9b6-4917-9a46-a2c0fa2afa06.tmp
- /data/media/####/id10ffc7872-562d-4129-9654-57125c77075f.tmp
- /data/media/####/id11c73f048-62cb-4781-a5ff-8e41c445ffc4.tmp
- /data/media/####/id120e01e88-8cbb-45c7-9a33-8d7678c5936b.tmp
- /data/media/####/id120f31496-d2c6-4e44-bb9b-ac2d4d5a912f.tmp
- /data/media/####/id122de1889-11f0-40d6-8723-793147de3a21.tmp
- /data/media/####/id12d5b3a77-44d2-4728-9258-fadca6c12488.tmp
- /data/media/####/id1377785ca-5267-459b-9917-5dcfebb1299f.tmp
- /data/media/####/id13c69a4b4-7685-4e53-98b3-46d054737900.tmp
- /data/media/####/id15653b86e-da7f-4552-82d0-27284126afa7.tmp
- /data/media/####/id16455b034-5482-40ae-b914-6269616d4562.tmp
- /data/media/####/id19a66a189-d009-4b5e-a0c4-bfba8a6d1445.tmp
- /data/media/####/id1a877b746-548f-4a85-b561-72d7524fb9f4.tmp
- /data/media/####/id1a90b8b4d-d8a6-47d0-8145-4cc42f5e92c8.tmp
- /data/media/####/id1eae4a706-3cf8-4b9a-95cc-fed1108c52e2.tmp
- /data/media/####/id20b850295-d10d-45ab-acfe-5d0bae1e296a.tmp
- /data/media/####/id214fa4183-125d-4a73-b5c8-a0aae232190e.tmp
- /data/media/####/id238ebe1e6-8f73-42aa-81e8-d2f8de732c6d.tmp
- /data/media/####/id23b4013fa-787e-44d3-85b0-13be54805b51.tmp
- /data/media/####/id23ce25b00-128a-4717-83d5-61fa71e52d51.tmp
- /data/media/####/id25c080e36-e723-4724-a9ea-c54a89b7538a.tmp
- /data/media/####/id26f45c82f-856b-4b37-8d8b-a459b893664f.tmp
- /data/media/####/id2746f398d-d013-44db-9134-83b9d452260f.tmp
- /data/media/####/id28bd4cbbe-56a1-4657-8719-935c33491d55.tmp
- /data/media/####/id28ed0a63b-4358-4f6b-8eaa-6592301b01c7.tmp
- /data/media/####/id290055344-5bfc-4adb-9b35-d8a2c3fbdc88.tmp
- /data/media/####/id2a2c62979-5a69-4e47-bc6b-39a363e4429e.tmp
- /data/media/####/id2a8da883e-2e2f-410f-9c9b-70f603939677.tmp
- /data/media/####/id2b0cd0e45-d8f2-4417-992c-9d8a33171ec5.tmp
- /data/media/####/id2ea7b87c8-c997-4f23-9baa-6b45be56e0a9.tmp
- /data/media/####/id2f2291e82-bb46-40cb-9061-430b205920fb.tmp
- /data/media/####/id2ff48cf33-2f74-4093-9095-0eb18aadf4e9.tmp
- /data/media/####/lut
Другие:
Запускает следующие shell-скрипты:
- cat /sys/class/net/wlan0/address
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- ls /dev/socket
- netstat
- service call iphonesubinfo 1
- sh -c cat /proc/cpuinfo
- sh -c cat /proc/net/arp
- sh -c cat /proc/sys/kernel/osrelease
- sh -c cat /proc/sys/kernel/random/boot_id
- sh -c cat /proc/sys/kernel/random/uuid
Загружает динамические библиотеки:
- du
- gdx
- libjiagu
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS7Padding
- RSA
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS7Padding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
