Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.RemoteCode.127.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) p3.x####.cc:80
- TCP(HTTP/1.1) p2.x####.cc:80
- TCP(HTTP/1.1) c.d####.mob.com:80
- TCP(HTTP/1.1) p1.x####.cc:80
- TCP(HTTP/1.1) api.s####.mob.com:80
- TCP(HTTP/1.1) up####.sdk.jig####.cn:80
- TCP(HTTP/1.1) p4.x####.cc:80
- TCP(HTTP/1.1) d####.d####.mob.com:80
- TCP(HTTP/1.1) log.r####.com:80
- TCP(HTTP/1.1) m.d####.mob.com:80
- TCP(HTTP/1.1) p.x####.cc:80
- TCP(HTTP/1.1) s####.j####.cn:80
- TCP(HTTP/1.1) a####.exc.mob.com:80
- TCP(HTTP/1.1) a.x####.cc:80
- TCP(TLS/1.0) api.s####.com:443
- TCP(TLS/1.0) et2-na6####.wagbr####.ali####.####.com:443
- TCP(TLS/1.0) dualsta####.wagbr####.ali####.####.com:443
- TCP(TLS/1.0) 1####.217.168.238:443
- TCP(TLS/1.0) s####.j####.cn:443
- UDP s.j####.cn:19000
- TCP 39.98.2####.66:7008
Запросы DNS:
- a####.exc.mob.com
- a.x####.cc
- api.s####.com
- api.s####.mob.com
- c.d####.mob.com
- d####.d####.mob.com
- log.r####.com
- m.d####.mob.com
- m.x####.cc
- p.x####.cc
- p1.x####.cc
- p2.x####.cc
- p3.x####.cc
- p4.x####.cc
- plb####.u####.com
- s####.j####.cn
- s.j####.cn
- u####.u####.com
- up####.sdk.jig####.cn
Запросы HTTP GET:
- a.x####.cc/webApp/xgbuy/static/css/activity-brand-decorate.css?var=####
- a.x####.cc/webApp/xgbuy/static/css/activity-single-day.css?var=####
- a.x####.cc/webApp/xgbuy/static/css/common-brand.css?var=####
- a.x####.cc/webApp/xgbuy/static/css/reset.css?var=####
- a.x####.cc/webApp/xgbuy/static/images/activity/out-stock.png
- a.x####.cc/webApp/xgbuy/static/images/icon-time.png
- a.x####.cc/webApp/xgbuy/static/js/jquery-3.2.1.min.js
- a.x####.cc/webApp/xgbuy/static/js/plug-time.js
- a.x####.cc/webApp/xgbuy/static/js/require.min.js
- a.x####.cc/webApp/xgbuy/static/js/template-web-min.js
- a.x####.cc/webApp/xgbuy/views/activity/nest/decorate/activity-brand-deco...
- a.x####.cc/webApp/xgbuy/views/activity/nest/decorate/brand_decorate.html...
- a.x####.cc/webApp/xgbuy/views/activity/templet/images/svip.png
- log.r####.com/receive/gettime
- m.d####.mob.com/v4/cconf?appkey=####&plat=####&apppkg=####&appver=####&n...
- p.x####.cc/download/bootPage_Android_20190403.jpg
- p1.x####.cc/201903/product/1422/1553232766650_7119_M.jpg
- p1.x####.cc/201903/product/1422/1553237303686_3452_M.jpg
- p1.x####.cc/201903/product/1690/1553926225235_6361_M.jpg
- p1.x####.cc/201903/product/8/1552009276991_3456_M.jpg
- p1.x####.cc/201904/activity/1554866948755_4521.jpg
- p1.x####.cc/201904/activity/1554989474962_8639.jpg
- p1.x####.cc/201904/activity/1556099071409_3998.jpg
- p1.x####.cc/201904/product/1051/1554953080178_5816_M.jpg
- p1.x####.cc/201904/product/1231/1556353183204_9574_M.jpg
- p1.x####.cc/201904/product/1422/1554283590526_8844_M.jpg
- p1.x####.cc/201904/product/1633/1554201012523_1587_M.jpg
- p1.x####.cc/201904/product/1690/1556025622611_6833_M.jpg
- p1.x####.cc/201904/product/1717/1554364425906_9564_M.jpg
- p1.x####.cc/201904/product/678/1555338323240_9092_M.jpg
- p1.x####.cc/201904/product/804/1555420671878_4234_M.jpg
- p1.x####.cc/201905/activity/1557823131250_6437.jpg
- p1.x####.cc/201905/activity/1557923917228_2831.jpg
- p1.x####.cc/201905/common/1557302132027_5596.jpg
- p1.x####.cc/201905/common/1557799992928_4501.jpg
- p1.x####.cc/201905/common/1558004957888_5500.jpg
- p1.x####.cc/201905/product/1633/1557050607328_4379_M.jpg
- p1.x####.cc/201905/product/1690/1557459564272_2383_M.jpg
- p1.x####.cc/201905/product/1794/1557238798662_4883_M.jpg
- p1.x####.cc/201905/product/74/1557471184901_4580_M.jpg
- p1.x####.cc/201905/product/804/1556867102517_5529_M.jpg
- p1.x####.cc/201905/product/804/1557817086109_6300_M.jpg
- p1.x####.cc/201905/product/97/1556958022846_2627_M.jpg
- p1.x####.cc/201905/product/97/1556959527543_1244_M.jpg
- p2.x####.cc/201808/common/1534746158641_6224.png
- p2.x####.cc/201809/product/510/1538125961873_7629_M.jpg
- p2.x####.cc/201901/product/1014/1546440530318_9992_M.jpg
- p2.x####.cc/201902/product/1118/1551157137276_8745_M.jpg
- p2.x####.cc/201902/product/1436/1550751390346_4199_M.jpg
- p2.x####.cc/201902/product/1634/1550828491728_674_M.jpg
- p2.x####.cc/201903/product/1291/1552967588084_674_M.jpg
- p2.x####.cc/201903/product/1422/1553239155570_9392_M.jpg
- p2.x####.cc/201903/product/1634/1553756002378_4671_M.jpg
- p2.x####.cc/201903/product/1701/1553586220620_6438_M.jpg
- p2.x####.cc/201903/product/523/1553585510896_2239_M.JPG
- p2.x####.cc/201904/activity/1554105121351_2769.jpg
- p2.x####.cc/201904/activity/1556613099643_7715.jpg
- p2.x####.cc/201904/common/1556594277105_4569.jpg
- p2.x####.cc/201904/product/1633/1554789973849_6567_M.jpg
- p2.x####.cc/201904/product/1633/1555481899449_8240_M.jpg
- p2.x####.cc/201904/product/1633/1556595962451_201_M.jpg
- p2.x####.cc/201904/product/1634/1555146240559_5950_M.jpg
- p2.x####.cc/201904/product/1690/1555943854256_6068_M.jpg
- p2.x####.cc/201904/product/389/1555334870836_854_M.jpg
- p2.x####.cc/201904/product/74/1555575181893_2423_M.jpg
- p2.x####.cc/201904/product/803/1555393344184_7870_M.jpg
- p2.x####.cc/201904/product/804/1555658615077_856_M.jpg
- p2.x####.cc/201905/activity/1557716368346_7922.jpg
- p2.x####.cc/201905/activity/1557739532582_8052.jpg
- p2.x####.cc/201905/activity/1557909480116_4461.jpg
- p2.x####.cc/201905/common/1557060684984_3301.jpg
- p2.x####.cc/201905/common/1557929362210_61.jpg
- p2.x####.cc/201905/common/1557996806415_9917.jpg
- p2.x####.cc/201905/product/1053/1557820344338_2662_M.jpg
- p2.x####.cc/201905/product/1633/1557807208709_7006_M.jpg
- p2.x####.cc/201905/product/1690/1556952632962_1026_M.jpg
- p2.x####.cc/201905/product/803/1557911135079_8084_M.jpg
- p3.x####.cc/201810/product/594/1538734070339_6413_M.jpg
- p3.x####.cc/201812/product/1436/1546237153589_6335_M.jpg
- p3.x####.cc/201812/product/323/1545630462003_2208_M.jpg
- p3.x####.cc/201902/product/356/1550216735714_9801_M.jpg
- p3.x####.cc/201902/product/599/1551336549389_5855_M.JPG
- p3.x####.cc/201903/product/1408/1552470596670_8163_M.jpg
- p3.x####.cc/201903/product/1422/1553232766650_7119_M.jpg
- p3.x####.cc/201903/product/1690/1553084452637_6850_M.jpg
- p3.x####.cc/201903/product/8/1552009276991_3456_M.jpg
- p3.x####.cc/201904/activity/1556262396713_9347.jpg
- p3.x####.cc/201904/product/1203/1556367827665_2451_M.jpg
- p3.x####.cc/201904/product/1543/1555990276019_6126_M.jpg
- p3.x####.cc/201904/product/1690/1556528886248_6084_M.jpg
- p3.x####.cc/201904/product/259/1555902554751_8497_M.jpg
- p3.x####.cc/201904/product/910/1556379103766_6236_M.jpg
- p3.x####.cc/201905/activity/1557035512283_8470.jpg
- p3.x####.cc/201905/activity/1557288998928_900.jpg
- p3.x####.cc/201905/activity/1557729609993_520.jpg
- p3.x####.cc/201905/activity/1557736030637_9359.jpg
- p3.x####.cc/201905/activity/1557923917228_2831.jpg
- p3.x####.cc/201905/common/1557044066004_1989.jpg
- p3.x####.cc/201905/common/1557985034468_6.jpg
- p3.x####.cc/201905/product/1757/1557137699381_1243_M.JPG
- p3.x####.cc/201905/product/1757/1557811094273_6438_M.jpg
- p3.x####.cc/201905/product/1832/1557840088189_8531_M.jpg
- p3.x####.cc/201905/product/804/1557897941876_8013_M.jpg
- p3.x####.cc/201905/product/804/1557907855302_1727_M.jpg
- p4.x####.cc/201807/product/1022/1532070352530_4870_M.jpg
- p4.x####.cc/201808/product/705/1533715003322_626_M.jpg
- p4.x####.cc/201903/product/1231/1552713085912_5242_M.jpg
- p4.x####.cc/201903/product/1231/1552713554865_9643_M.jpg
- p4.x####.cc/201903/product/1422/1553240833430_2064_M.jpg
- p4.x####.cc/201903/product/1670/1552632977224_7999_M.jpg
- p4.x####.cc/201903/product/804/1552205815334_6747_M.jpg
- p4.x####.cc/201904/activity/1555562673318_6003.jpg
- p4.x####.cc/201904/activity/1556446154746_8971.jpg
- p4.x####.cc/201904/product/1596/1554364868969_7314_M.jpg
- p4.x####.cc/201904/product/1633/1554364108298_3590_M.jpg
- p4.x####.cc/201904/product/330/1555516694959_5405_M.JPG
- p4.x####.cc/201905/activity/1557311439135_7072.jpg
- p4.x####.cc/201905/activity/1557713154229_1525.jpg
- p4.x####.cc/201905/activity/1557740703945_4998.jpg
- p4.x####.cc/201905/activity/1557904504184_435.jpg
- p4.x####.cc/201905/activity/1557906918034_4394.jpg
- p4.x####.cc/201905/activity/1557915956624_5138.jpg
- p4.x####.cc/201905/activity/1557920262958_4109.jpg
- p4.x####.cc/201905/common/1557393391869_6533.jpg
- p4.x####.cc/201905/common/1557814795991_972.jpg
- p4.x####.cc/201905/common/1557900930165_6792.jpg
- p4.x####.cc/201905/product/1690/1557459538929_2808_M.jpg
- p4.x####.cc/201905/product/1690/1557803772087_1315_M.jpg
- p4.x####.cc/201905/product/1793/1557889044281_1143_M.jpg
- p4.x####.cc/201905/product/1832/1557845001157_6738_M.jpg
- p4.x####.cc/201905/product/1832/1557847116124_5874_M.jpg
- p4.x####.cc/201905/product/256/1557826114706_4065_M.jpg
- p4.x####.cc/201905/product/804/1556793570888_2613_M.jpg
Запросы HTTP POST:
- a####.exc.mob.com/errconf
- a.x####.cc/appService/api/n/getAdInfoList
- a.x####.cc/appService/api/n/getAppNewVersion20170823
- a.x####.cc/appService/api/n/getHomeCategory
- a.x####.cc/appService/api/n/getIsSaveMemberFavorites
- a.x####.cc/appService/api/n/getShoppingMallData
- a.x####.cc/appService/api/n/getSystemBootPage
- a.x####.cc/appService/api/n/getTodayPreferentialActivityList
- a.x####.cc/appService/api/n/visitolLogin
- a.x####.cc/appService/api/y/addLoginLogByStartUp
- a.x####.cc/appService/api/y/getAppMemberMessage
- a.x####.cc/appService/api/y/getUserInfo
- a.x####.cc/webApp/api/n/getDecorateInfoPage
- a.x####.cc/webApp/api/n/getTopSecKillProductList
- api.s####.mob.com/conf5
- api.s####.mob.com/conn
- api.s####.mob.com/snsconf
- c.d####.mob.com/v3/cdata
- d####.d####.mob.com/dgen
- d####.d####.mob.com/dinfo
- d####.d####.mob.com/dsign
- log.r####.com/receive/pkginfo
- log.r####.com/receive/tkio/install
- log.r####.com/receive/tkio/startup
- s####.j####.cn/v2/report
- up####.sdk.jig####.cn/v1/push/sdk/postlist
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.duid
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/.lock
- /data/data/####/.mrecord
- /data/data/####/.mrecord (deleted)
- /data/data/####/.mrlock
- /data/data/####/.statistics
- /data/data/####/.vpl_lock
- /data/data/####/222b4975f0dbf659ed6410669990572f86a92bd2240c184....0.tmp
- /data/data/####/2fb9813c114f176f5c0f52e06be9e20bf624edf966e7ba8....0.tmp
- /data/data/####/48ac5adc39e2d8a9f9bed8cda5f8990b8fcd929efa7367f....0.tmp
- /data/data/####/49782b2c4b8553128b0ba7716d8790f6dc4957e87adf1d3....0.tmp
- /data/data/####/4bb11f29f01dc80dff08a29d62bcc1db16da64a4c945852....0.tmp
- /data/data/####/52dc4e42b9140fe5abe09dacfea51804e0601d548196598....0.tmp
- /data/data/####/7e0965b4885b77d6a48659465ea6488584db31e389ab177....0.tmp
- /data/data/####/81ac478b49f7d830504ceebbac2eb65c5b6122e5448be5f....0.tmp
- /data/data/####/82c9db698d4afefc499c252ae5d6116b95025eca3ea5fc7....0.tmp
- /data/data/####/98ad37b52c288d9f184331ab66209bb3e36c71a47096bad....0.tmp
- /data/data/####/9982a4d6a4b8f65f14f87a98849c691c41b6cc01f87736a....0.tmp
- /data/data/####/JPushSA_Config.xml
- /data/data/####/MultiDex.lock
- /data/data/####/Reyun.db
- /data/data/####/Reyun.db-journal
- /data/data/####/ThrowalbeLog.db-journal
- /data/data/####/XNSDKStore1.0.xml
- /data/data/####/XNclientid.xml
- /data/data/####/XNmachineid.xml
- /data/data/####/a==7.5.3&&2.3.3_1558016396156_envelope.log
- /data/data/####/appPackageNames
- /data/data/####/cn.jpush.android.user.profile.xml
- /data/data/####/cn.jpush.preferences.v2.rid.xml
- /data/data/####/cn.jpush.preferences.v2.xml
- /data/data/####/com.xgbuy.xg_preferences.xml
- /data/data/####/dW1weF9pbnRlcm5hbF8xNTU4MDE2Mzg5NTYx;
- /data/data/####/dW1weF9pbnRlcm5hbF8xNTU4MDE2Mzk0MzAz;
- /data/data/####/dW1weF9pbnRlcm5hbF8xNTU4MDE2MzkyMTAz;
- /data/data/####/dW1weF9pbnRlcm5hbF8xNTU4MDE2NDA1OTcy;
- /data/data/####/dW1weF9pbnRlcm5hbF8xNTU4MDE2NDAwMzk5;
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/ebffd11651b0195d208f7403a4fc45956b01677061ea9b7....0.tmp
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/f3b2828c4ed82bdd82938aa0ef3c5ee6f3e194966e148a6....0.tmp
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/f_000004
- /data/data/####/f_000005
- /data/data/####/f_000006
- /data/data/####/f_000007
- /data/data/####/f_000008
- /data/data/####/f_000009
- /data/data/####/f_00000a
- /data/data/####/f_00000b
- /data/data/####/f_00000c
- /data/data/####/f_00000d
- /data/data/####/f_00000e
- /data/data/####/f_00000f
- /data/data/####/f_000010
- /data/data/####/f_000011
- /data/data/####/f_000012
- /data/data/####/f_000013
- /data/data/####/f_000014
- /data/data/####/f_000015
- /data/data/####/f_000016
- /data/data/####/f_000017
- /data/data/####/f_000018
- /data/data/####/f_000019
- /data/data/####/f_00001a
- /data/data/####/f_00001b
- /data/data/####/f_00001c
- /data/data/####/f_00001d
- /data/data/####/f_00001e
- /data/data/####/f_00001f
- /data/data/####/f_000020
- /data/data/####/f_000021
- /data/data/####/f_000022
- /data/data/####/f_000023
- /data/data/####/f_000024
- /data/data/####/f_000025
- /data/data/####/f_000026
- /data/data/####/f_000027
- /data/data/####/f_000028
- /data/data/####/f_000029
- /data/data/####/f_00002a
- /data/data/####/f_00002b
- /data/data/####/f_00002c
- /data/data/####/i==1.2.0&&2.3.3_1558016389618_envelope.log
- /data/data/####/i==1.2.0&&2.3.3_1558016406018_envelope.log
- /data/data/####/index
- /data/data/####/info.xml
- /data/data/####/je_1000_ISME9754_guest3139255522381038361336949...ournal
- /data/data/####/journal.tmp
- /data/data/####/jpush_device_info.xml
- /data/data/####/jpush_local_notification.db
- /data/data/####/jpush_local_notification.db-journal
- /data/data/####/jpush_stat_cache_history.json
- /data/data/####/jpush_statistics.db
- /data/data/####/jpush_statistics.db-journal
- /data/data/####/jpush_uncaughtexception_file
- /data/data/####/libjiagu1402567631.so
- /data/data/####/mob_commons_1
- /data/data/####/mob_sdk_exception_1
- /data/data/####/multidex.version.xml
- /data/data/####/mutex
- /data/data/####/netflow.xml
- /data/data/####/pkgInfo.xml
- /data/data/####/qihoo_jiagu_crash_report.xml
- /data/data/####/reyunchannel_interval.xml
- /data/data/####/share_sdk_1
- /data/data/####/sharesdk.db-journal
- /data/data/####/sobot_chat_20190516_log.txt
- /data/data/####/sobot_config.xml
- /data/data/####/trackAppIntall.xml
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/um_pri.xml
- /data/data/####/umdat.xml
- /data/data/####/umeng_common_config.xml
- /data/data/####/umeng_common_location.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/xinggou-journal
- /data/data/####/xnsdkconfig.xml
- /data/data/####/xpush.xml
- /data/data/####/xpush.xml.bak
- /data/media/####/.a.dat
- /data/media/####/.adfwe.dat
- /data/media/####/.artc_lock
- /data/media/####/.cca.dat
- /data/media/####/.dh
- /data/media/####/.dh-journal
- /data/media/####/.dhlock
- /data/media/####/.di
- /data/media/####/.dic_lock
- /data/media/####/.duid
- /data/media/####/.globalLock
- /data/media/####/.lesd_lock
- /data/media/####/.pkg_lock
- /data/media/####/.push_deviceid
- /data/media/####/.rc_lock
- /data/media/####/.slw
- /data/media/####/.umm.dat
- /data/media/####/sysid.dat
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
- chmod 755 <Package Folder>/.jiagu/libjiagu1402567631.so
- ls /sys/class/thermal
Загружает динамические библиотеки:
- jcore112
- libjiagu1402567631
Использует следующие алгоритмы для шифрования данных:
- AES
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS7Padding
Использует следующие алгоритмы для расшифровки данных:
- AES
- AES-CBC-PKCS7Padding
- AES-ECB-NoPadding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Управляет Wi-Fi-подключением.
