Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.RemoteCode.127.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) ys-gat####.la####.com:80
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(TLS/1.0) ssl.gst####.com:443
- TCP(TLS/1.0) 1####.217.17.78:443
- TCP(TLS/1.0) api.s####.com:443
- TCP(TLS/1.0) dualsta####.wagbr####.ali####.####.com:443
- TCP(TLS/1.0) et2-na6####.wagbr####.ali####.####.com:443
- TCP(TLS/1.0) z####.szaia####.com:443
- TCP(TLS/1.0) www.go####.com:443
- TCP(TLS/1.0) www.gst####.com:443
- TCP(TLS/1.0) adser####.go####.com:443
- TCP(TLS/1.0) gd-s####.j####.cn:443
- TCP(TLS/1.0) t####.j####.cn:443
- TCP(TLS/1.0) na61-####.wagbr####.ali####.####.com:443
- UDP 1####.168.125.1:137
- UDP s.j####.cn:19000
- TCP 1####.230.236.23:7006
Запросы DNS:
- adser####.go####.com
- ali-s####.j####.cn
- and####.b####.qq.com
- api.s####.com
- gd-s####.j####.cn
- log.u####.com
- plb####.u####.com
- s.j####.cn
- sec.u####.com
- ssl.gst####.com
- t####.j####.cn
- u####.u####.com
- www.go####.com
- www.go####.nl
- www.gst####.com
- ys-gat####.la####.com
- z####.szaia####.com
Запросы HTTP POST:
- and####.b####.qq.com/rqd/async?aid=####
- ys-gat####.la####.com/laiai-ys-member/api/infra/user/findUser
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/1004
- /data/data/####/22d97340-016e-4834-a5b2-de80f6ce9508
- /data/data/####/267ff3ee-6cc9-4b20-9457-b893da1c1bbc
- /data/data/####/3e839bd3-c18d-4bfd-8a08-aa6b790c01d0
- /data/data/####/8758b242-d449-4d2f-bda5-fb28671afa7d
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/JPushSA_Config.xml
- /data/data/####/MultiDex.lock
- /data/data/####/appPackageNames_v2
- /data/data/####/b99ff421-8931-4712-a2b3-16a458b34b1d
- /data/data/####/be7b7b05-7ca6-433e-b4b8-e26585aa3a9b
- /data/data/####/bugly_db_-journal
- /data/data/####/cn.jpush.android.user.profile.xml
- /data/data/####/cn.jpush.preferences.v2.rid.xml
- /data/data/####/cn.jpush.preferences.v2.xml
- /data/data/####/com.sunnsoft.laiai;pushcoree61ea4b5eab24b689e97...77.xml
- /data/data/####/com.sunnsoft.laiaie61ea4b5eab24b689e97b1bc3c257977.xml
- /data/data/####/config.xml
- /data/data/####/crashrecord.xml
- /data/data/####/dW1weF9pbnRlcm5hbF8xNTU3NDc3NTMyNjc5;
- /data/data/####/dW1weF9pbnRlcm5hbF8xNTU3NDc3NTU2Mzkx;
- /data/data/####/dW1weF9pbnRlcm5hbF8xNTU3NDc3NTc2NDEz;
- /data/data/####/dW1weF9pbnRlcm5hbF8xNTU3NDc3NTcwMTU4;
- /data/data/####/dW1weF9pbnRlcm5hbF8xNTU3NDc3NTg3NTk3;
- /data/data/####/dW1weF9pbnRlcm5hbF8xNTU3NDc3NTgxMzMx;
- /data/data/####/dW1weF9zaGFyZV8xNTU3NDc3NTMyODU5;
- /data/data/####/dW1weF9zaGFyZV8xNTU3NDc3NTMzMTc4;
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/f91d09ab-65b0-4f6a-87d5-18b3852f5674
- /data/data/####/i==1.2.0&&v2.4.3_1557477532778_envelope.log
- /data/data/####/i==1.2.0&&v2.4.3_1557477556435_envelope.log
- /data/data/####/info.xml
- /data/data/####/jpush_device_info.xml
- /data/data/####/jpush_stat_cache.json
- /data/data/####/jpush_stat_cache_history.json
- /data/data/####/jpush_uncaughtexception_file
- /data/data/####/libjiagu2047352379.so
- /data/data/####/local_crash_lock
- /data/data/####/multidex.version.xml
- /data/data/####/native_record_lock
- /data/data/####/qihoo_jiagu_crash_report.xml
- /data/data/####/security_info
- /data/data/####/share.db-journal
- /data/data/####/sobot_chat_20190510_log.txt
- /data/data/####/sobot_config.xml
- /data/data/####/um_pri.xml
- /data/data/####/umdat.xml
- /data/data/####/umeng_common_config.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/umeng_socialize.xml
- /data/data/####/zhuge
- /data/data/####/zhuge-journal
- /data/media/####/.a.dat
- /data/media/####/.adfwe.dat
- /data/media/####/.cca.dat
- /data/media/####/.nomedia
- /data/media/####/.push_deviceid
- /data/media/####/.umm.dat
- /data/media/####/255633e1-f975-458f-b4f0-e0c2f879ad1f
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/http_record.txt
- /data/media/####/sysid.dat
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
- /system/bin/sh -c getprop
- getprop
- ls /sys/class/thermal
- ps
Загружает динамические библиотеки:
- Bugly
- jcore125
- libjiagu2047352379
- securityenv
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-ECB-PKCS7Padding
- AES-GCM-NoPadding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-ECB-NoPadding
- AES-GCM-NoPadding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
