Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.DownLoader.683.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) www.any####.com:80
- TCP(HTTP/1.1) pub####.any####.com:80
- TCP(HTTP/1.1) gd.a.s####.com:80
- TCP(HTTP/1.1) cdn.app.pin####.####.com:80
- TCP(HTTP/1.1) loc.map.b####.com:80
- TCP(HTTP/1.1) 1####.89.97.82:8000
- TCP(HTTP/1.1) api.a####.durianc####.com:80
- TCP(HTTP/1.1) b####.l####.top:80
- TCP(TLS/1.0) api.any####.com:443
- TCP(TLS/1.0) cdn.app.pin####.####.com:443
- TCP(TLS/1.0) le.snow####.top:443
- TCP(TLS/1.0) 1####.217.20.110:443
Запросы DNS:
- a####.u####.com
- api.a####.durianc####.com
- api.any####.com
- b####.l####.top
- cdn.app.1####.top
- cdn.app.12####.top
- cdn.app.pin####.top
- le.snow####.top
- loc.map.b####.com
- mt####.go####.com
- pub####.any####.com
- pv.s####.com
- www.any####.com
Запросы HTTP GET:
- api.a####.durianc####.com/api/v1/pkg.jsp?chid=####
- cdn.app.pin####.####.com/dp
- cdn.app.pin####.####.com/lh389b
- cdn.app.pin####.####.com/zzz/sgg
- gd.a.s####.com/cityjson
- pub####.any####.com/download/SdkTheme/CardTheme/CartOne.zip
- pub####.any####.com/download/SdkTheme/CardTheme/theme.js
- pub####.any####.com/download/SdkTheme/PictureStoryTheme/PictureStoryOne....
- pub####.any####.com/download/SdkTheme/PictureStoryTheme/theme.js
- pub####.any####.com/download/SdkTheme/TodoTheme/TodoOne.zip
- pub####.any####.com/download/SdkTheme/TodoTheme/theme.js
- pub####.any####.com/download/sdkFavorite/TheFavorite.zip
- www.any####.com/plugin/xunfeispeech/x86_xunfeispeech.apk
Запросы HTTP POST:
- a####.u####.com/app_logs
- b####.l####.top/wakeup/hx_n
- b####.l####.top/wulink/req
- loc.map.b####.com/offline_loc
- loc.map.b####.com/sdk.php
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.DS_Store
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/07853d75688dc61bd57ade2929c83fcbaedc541e6fcfb2d....0.tmp
- /data/data/####/1.jpg
- /data/data/####/1001_1487400960000.json
- /data/data/####/1001_1495274858080.json
- /data/data/####/1001_1496211983260.json
- /data/data/####/1495004169881.jpg
- /data/data/####/1495004169887.jpg
- /data/data/####/1495004169889.jpg
- /data/data/####/1495004169894.jpg
- /data/data/####/1495004169895.jpg
- /data/data/####/1495004169896.jpg
- /data/data/####/1495004169897.jpg
- /data/data/####/1495004169898.jpg
- /data/data/####/1495004169899.jpg
- /data/data/####/1495004169900.jpg
- /data/data/####/1495005389483.png
- /data/data/####/1495005934017.jpg
- /data/data/####/1495241087846.png
- /data/data/####/1495244481742.jpg
- /data/data/####/1495246175621.jpg
- /data/data/####/1495248351241.jpg
- /data/data/####/1495248987809.png
- /data/data/####/1495250992425.jpg
- /data/data/####/1495252516322.jpg
- /data/data/####/1495252574094.jpg
- /data/data/####/1495252818640.jpg
- /data/data/####/1495259161479.png
- /data/data/####/1495259864850.jpg
- /data/data/####/1495259907195.jpg
- /data/data/####/1495260562886.png
- /data/data/####/1495260669177.jpg
- /data/data/####/1495261655243.jpg
- /data/data/####/1495262784467.png
- /data/data/####/1495263318668.png
- /data/data/####/1495265727701.jpg
- /data/data/####/1495269612308.jpg
- /data/data/####/1495271660333.jpg
- /data/data/####/1496211983035.jpg
- /data/data/####/1496211983038.jpg
- /data/data/####/1496211983039.jpg
- /data/data/####/1496211983041.jpg
- /data/data/####/1496211983042.jpg
- /data/data/####/1496211983043.jpg
- /data/data/####/1496212014216.png
- /data/data/####/1496212295898.jpg
- /data/data/####/2.jpg
- /data/data/####/3.jpg
- /data/data/####/3d08dbbc514adee2fb81b64ed52eae1453baad6d31cc762....0.tmp
- /data/data/####/4.jpg
- /data/data/####/4a42e30e5168e14e5a73935303bea295b4498612919d436....0.tmp
- /data/data/####/5.jpg
- /data/data/####/DAYDAY.xml
- /data/data/####/LIN1001.xml
- /data/data/####/LIN1002.xml
- /data/data/####/LIN1003.xml
- /data/data/####/LIN1004.xml
- /data/data/####/LIN1005.xml
- /data/data/####/LIN1006.xml
- /data/data/####/LIN1007.xml
- /data/data/####/LIN1008.xml
- /data/data/####/LIN1009.xml
- /data/data/####/LIN1010.xml
- /data/data/####/LIN1011.xml
- /data/data/####/LIN1013.xml
- /data/data/####/LIN1014.xml
- /data/data/####/LIN1015.xml
- /data/data/####/back_up.png
- /data/data/####/background_default_deprecated.jpg
- /data/data/####/base.css
- /data/data/####/base.js
- /data/data/####/bg.png
- /data/data/####/bgDown.png
- /data/data/####/bgDowntop.png
- /data/data/####/bgLeft.png
- /data/data/####/bgRight.png
- /data/data/####/bgTop.png
- /data/data/####/bg_bottom.jpg
- /data/data/####/bg_done.png
- /data/data/####/bg_todo.png
- /data/data/####/browsedPage.js
- /data/data/####/btn_add_activation.png
- /data/data/####/btn_add_newmess.png
- /data/data/####/btn_add_pic.png
- /data/data/####/btn_add_text.png
- /data/data/####/btn_close.png
- /data/data/####/btn_cut.png
- /data/data/####/btn_delete.png
- /data/data/####/btn_deletetodo.png
- /data/data/####/btn_luy_a.png
- /data/data/####/btn_luy_b.gif
- /data/data/####/btn_move.png
- /data/data/####/btn_picture.png
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/checker
- /data/data/####/com.dsad.bfs_preferences.xml
- /data/data/####/cover_acquiesce.jpg
- /data/data/####/cover_beauty_imagination.png
- /data/data/####/cover_blue_forest.png
- /data/data/####/cover_default.png
- /data/data/####/cover_diary.jpg
- /data/data/####/cover_excerpt.jpg
- /data/data/####/cover_family.jpg
- /data/data/####/cover_fantasy_fishbowl.png
- /data/data/####/cover_feeling.jpg
- /data/data/####/cover_flower_field.png
- /data/data/####/cover_learn.jpg
- /data/data/####/cover_lovely_bird.png
- /data/data/####/cover_music_door.png
- /data/data/####/cover_rectangle.png
- /data/data/####/cover_sushi_tower.png
- /data/data/####/cover_watercolor.png
- /data/data/####/cover_working.jpg
- /data/data/####/cs.jar
- /data/data/####/defoult.png
- /data/data/####/done.png
- /data/data/####/editPage.js
- /data/data/####/edit_icon_mood_amazed.png
- /data/data/####/edit_icon_mood_angry.png
- /data/data/####/edit_icon_mood_fascination.png
- /data/data/####/edit_icon_mood_happy.png
- /data/data/####/edit_icon_mood_kiss.png
- /data/data/####/edit_icon_mood_sigh.png
- /data/data/####/edit_icon_mood_silence.png
- /data/data/####/edit_icon_mood_sleep.png
- /data/data/####/edit_icon_mood_stupefied.png
- /data/data/####/edit_icon_mood_sweat.png
- /data/data/####/edit_icon_mood_unhappy.png
- /data/data/####/edit_icon_mood_wept.png
- /data/data/####/edit_icon_wether_brume.png
- /data/data/####/edit_icon_wether_drizzly.png
- /data/data/####/edit_icon_wether_greatsnow.png
- /data/data/####/edit_icon_wether_hail.png
- /data/data/####/edit_icon_wether_haze.png
- /data/data/####/edit_icon_wether_heavyrain.png
- /data/data/####/edit_icon_wether_litterovercast.png
- /data/data/####/edit_icon_wether_moderaterain.png
- /data/data/####/edit_icon_wether_moderatesnow.png
- /data/data/####/edit_icon_wether_overcast.png
- /data/data/####/edit_icon_wether_scouther.png
- /data/data/####/edit_icon_wether_shower.png
- /data/data/####/edit_icon_wether_sleet.png
- /data/data/####/edit_icon_wether_sunny.png
- /data/data/####/edit_icon_wether_thunderstorm.png
- /data/data/####/editor_look.js
- /data/data/####/end.png
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/firll.dat
- /data/data/####/firstedlink.xml
- /data/data/####/icon_btn_addtodo.png
- /data/data/####/icon_btn_cancel.png
- /data/data/####/icon_edit.png
- /data/data/####/icon_location.png
- /data/data/####/icon_mark.png
- /data/data/####/icon_set_pic.png
- /data/data/####/img_splash_bg.jpg
- /data/data/####/index.css
- /data/data/####/index.html
- /data/data/####/index.js
- /data/data/####/info.json
- /data/data/####/journal.tmp
- /data/data/####/jquery-1.11.3.min.js
- /data/data/####/kr.xml
- /data/data/####/lh_oimsp.xml
- /data/data/####/libcuid.so
- /data/data/####/libjiagu.so
- /data/data/####/libmp3lame.so
- /data/data/####/libmsc.so
- /data/data/####/list_disc.woff
- /data/data/####/logo.png
- /data/data/####/lz.xml
- /data/data/####/mark_356507059351895.db
- /data/data/####/mark_356507059351895.db-journal
- /data/data/####/mess_bg.jpg
- /data/data/####/new_browster.js
- /data/data/####/new_editer_5_2_5.js
- /data/data/####/notdone.png
- /data/data/####/ofl.config
- /data/data/####/ofl_location.db
- /data/data/####/ofl_location.db-journal
- /data/data/####/ofl_statistics.db
- /data/data/####/ofl_statistics.db-journal
- /data/data/####/pic_bottom.png
- /data/data/####/pic_bottom_pen.png
- /data/data/####/pic_digest_down.png
- /data/data/####/pic_digest_top.png
- /data/data/####/pic_head.png
- /data/data/####/pic_loading.png
- /data/data/####/pic_mod.jpg
- /data/data/####/play_audio.png
- /data/data/####/remind_false.png
- /data/data/####/remind_true.png
- /data/data/####/rendering.png
- /data/data/####/share_common_v1.js
- /data/data/####/sk.jar
- /data/data/####/sv.xml
- /data/data/####/t_u.db-journal
- /data/data/####/text_bg.png
- /data/data/####/theme.js
- /data/data/####/thumbnail.jpg
- /data/data/####/tool_edit_img.css
- /data/data/####/tool_theme.css
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/v1.png
- /data/data/####/video_look_v7.js
- /data/data/####/voice_playenter.png
- /data/data/####/voice_playing.png
- /data/data/####/web_edit_v3.10.js
- /data/data/####/x86_xunfeispeech.apk
- /data/data/####/yinji_common.js
- /data/data/####/zhezhao.png
- /data/media/####/.cuid2
- /data/media/####/.nomedia
- /data/media/####/1001_1487400960000.eml
- /data/media/####/1001_1495274858080.eml
- /data/media/####/1001_1496211983260.eml
- /data/media/####/CartOne.zip
- /data/media/####/DiaryTheme.zip
- /data/media/####/DigestTheme.zip
- /data/media/####/ExportOne.zip
- /data/media/####/PictureStoryOne.zip
- /data/media/####/PictureStoryTheme.zip
- /data/media/####/Roboto-Light-subset.ttf
- /data/media/####/TheClassic.zip
- /data/media/####/TheFavorite.zip
- /data/media/####/TheOne.zip
- /data/media/####/TheWhite.zip
- /data/media/####/TodoOne.zip
- /data/media/####/V2.8.7.txt
- /data/media/####/conlts.dat
- /data/media/####/def.ttf
- /data/media/####/kai.ttf
- /data/media/####/ller.dat
- /data/media/####/ls.db
- /data/media/####/ls.db-journal
- /data/media/####/test.0
- /data/media/####/x86_xunfeispeech.apk
- /data/media/####/xingkai.ttf
- /data/media/####/young.ttf
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
Загружает динамические библиотеки:
- libjiagu
- locSDK6a
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- DES
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
