Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.DownLoader.570.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) ff.t####.com.####.com:80
- TCP(HTTP/1.1) i####.b####.3g.cn:80
- TCP(HTTP/1.1) www.book####.com:80
- TCP(HTTP/1.1) as.e####.com:80
- TCP(HTTP/1.1) b####.3g.cn:80
- TCP(TLS/1.0) 1####.217.17.110:443
- TCP v.m####.com:7703
- TCP v.m####.com:7702
- TCP v.m####.com:7701
Запросы DNS:
- as.e####.com
- b####.3g.cn
- f.you####.com
- ff.t####.com
- i####.b####.3g.cn
- v.m####.com
- www.book####.com
Запросы HTTP GET:
- as.e####.com/as?m=####&v=####&k=####&pkg=####&json=####
- as.e####.com/cdn?id=####
- b####.3g.cn/xuan/index.php?m=####&a=####&versionname=####&s_ver=####&ime...
- ff.t####.com.####.com/d/44z5.apk
- ff.t####.com.####.com/d/44z7.jpg
- ff.t####.com.####.com/d/451c.jpg
- ff.t####.com.####.com/d/451k.jpg
- i####.b####.3g.cn/bookimage/bookpic/05/564905/564905_210_280.jpg
- i####.b####.3g.cn/bookimage/bookpic/08/481108/481108_210_280.jpg
- i####.b####.3g.cn/bookimage/bookpic/12/523712/523712_210_280.jpg
- i####.b####.3g.cn/bookimage/bookpic/26/511226/511226_210_280.jpg
- i####.b####.3g.cn/bookimage/bookpic/29/269029/269029_210_280.jpg
- i####.b####.3g.cn/bookimage/bookpic/30/468330/468330_210_280.jpg
- i####.b####.3g.cn/bookimage/bookpic/30/510230/510230_210_280.jpg
- i####.b####.3g.cn/bookimage/bookpic/42/474842/474842_210_280.jpg
- i####.b####.3g.cn/bookimage/bookpic/46/500646/500646_210_280.jpg
- i####.b####.3g.cn/bookimage/bookpic/46/523946/523946_210_280.jpg
- i####.b####.3g.cn/bookimage/bookpic/82/523482/523482_210_280.jpg
- i####.b####.3g.cn/bookimage/bookpic/89/564189/564189_210_280.jpg
- i####.b####.3g.cn/bookimage/bookpic/90/468490/468490_210_280.jpg
- i####.b####.3g.cn/bookimage/bookpic/94/421194/421194_210_280.jpg
- i####.b####.3g.cn/bookimage/hadpic/201808/1535709417.jpg
- i####.b####.3g.cn/bookimage/hadpic/201810/1539832626.jpg
- i####.b####.3g.cn/bookimage/hadpic/201904/1555987580.jpg
- www.book####.com/apkinfo/About/detailBytid?versionname=####&s_ver=####&i...
- www.book####.com/apkinfo/BookCollect/collectList3_2?ggid=####&delcache=#...
- www.book####.com/apkinfo/BookInf/ImgSizeWifi?versionname=####&s_ver=####...
- www.book####.com/apkinfo/BookRecommend/boyRecommendNew3_2?versioncode=##...
- www.book####.com/apkinfo/BookRecommend/discountRecomNew3_2?versioncode=#...
- www.book####.com/apkinfo/BookRecommend/girlRecommendNew3_2?versioncode=#...
- www.book####.com/apkinfo/BookRecommend/guessYouLikeNew?bookid=####&ggid=...
- www.book####.com/apkinfo/BookRecommend/sellRecommendNew3_2?versioncode=#...
- www.book####.com/apkinfo/BookRecommend/topPictureRecomNew?versioncode=##...
- www.book####.com/apkinfo/BookStype/BookStyleListNew?stype_id=####&pn=###...
- www.book####.com/apkinfo/RankInf/getBookStore?sort=####&s_ver=####&imei=...
- www.book####.com/apkinfo/inf/UpdateVersion.ashx?versioncode=####&pid=###...
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/23.xml
- /data/data/####/23356507059351895.xml
- /data/data/####/23356507059351895.xml.bak
- /data/data/####/24356507059351895.xml
- /data/data/####/25356507059351895.xml
- /data/data/####/26356507059351895.xml
- /data/data/####/28356507059351895.xml
- /data/data/####/360.db
- /data/data/####/360.db-journal
- /data/data/####/784409.jar
- /data/data/####/bigPicSize.xml
- /data/data/####/bookrack.xml
- /data/data/####/da.jar
- /data/data/####/first.xml
- /data/data/####/libjiagu.so
- /data/data/####/njzs.free.novels.yuedubar.xml
- /data/media/####/04a31c78040f567305d4f36b91a689c0.0
- /data/media/####/04a31c78040f567305d4f36b91a689c0.0.tmp
- /data/media/####/1b5dd30d79dec170b224612335f25977.0
- /data/media/####/1b5dd30d79dec170b224612335f25977.0.tmp
- /data/media/####/44b16f88ac3f00104863b34f7618e41f.0
- /data/media/####/44b16f88ac3f00104863b34f7618e41f.0.tmp
- /data/media/####/44z7.jpg.data
- /data/media/####/451c.jpg.data
- /data/media/####/451k.jpg.data
- /data/media/####/4b9ca45998882b4ef2312eddd200a1a2.0
- /data/media/####/4b9ca45998882b4ef2312eddd200a1a2.0.tmp
- /data/media/####/4c9f8653f2d413b4eb1741409546199a.0
- /data/media/####/4c9f8653f2d413b4eb1741409546199a.0.tmp
- /data/media/####/53bece9d0161989958d9973a6948f708.0
- /data/media/####/53bece9d0161989958d9973a6948f708.0.tmp
- /data/media/####/5e483b6bc8d57f73620bf0f75102e416.0
- /data/media/####/5e483b6bc8d57f73620bf0f75102e416.0.tmp
- /data/media/####/61aa3506728e354b54a84ae65c36c3c7.0
- /data/media/####/61aa3506728e354b54a84ae65c36c3c7.0.tmp
- /data/media/####/6486bf8bf1417c227cac545773b8772d.0
- /data/media/####/6486bf8bf1417c227cac545773b8772d.0.tmp
- /data/media/####/72a4a64f0dab6a15fb3d9caab3cde210.0
- /data/media/####/72a4a64f0dab6a15fb3d9caab3cde210.0.tmp
- /data/media/####/7f0370794108455a1f3a59bf6ff73f17.0
- /data/media/####/7f0370794108455a1f3a59bf6ff73f17.0.tmp
- /data/media/####/8a39539ade1d6597d3154e4bba4b61e2.0
- /data/media/####/8a39539ade1d6597d3154e4bba4b61e2.0.tmp
- /data/media/####/8ac4bd34765ecc5a99b2cdba259b40e8.0
- /data/media/####/8ac4bd34765ecc5a99b2cdba259b40e8.0.tmp
- /data/media/####/8d196a50f553b4f2465d9d2bfd2850eb.0
- /data/media/####/8d196a50f553b4f2465d9d2bfd2850eb.0.tmp
- /data/media/####/8df316c148e63fce5770ca407542a988.0
- /data/media/####/8df316c148e63fce5770ca407542a988.0.tmp
- /data/media/####/a52788b45987e0d09c9a90fa0c0af5dd.0
- /data/media/####/a52788b45987e0d09c9a90fa0c0af5dd.0.tmp
- /data/media/####/baidu_44z5.apk.c
- /data/media/####/cache_boutique_female_3.2.data
- /data/media/####/cache_boutique_guess_like_3_2_tourist.data
- /data/media/####/cache_boutique_head_3.2.data
- /data/media/####/cache_boutique_label_like_3.2.data
- /data/media/####/cache_boutique_limited_3.2.data
- /data/media/####/cache_boutique_male_3.2.data
- /data/media/####/cache_boutique_new_rank.data
- /data/media/####/cache_boutique_sellwell_3.2.data
- /data/media/####/d785296dcac0097553ae5d6ad71c6874.0
- /data/media/####/d785296dcac0097553ae5d6ad71c6874.0.tmp
- /data/media/####/journal.tmp
- /data/media/####/tourist_book_collect_3_2.dat
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
Загружает динамические библиотеки:
- libjiagu
- okjbvcde345789oijhgfdr6
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
