Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.DownLoader.343.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) ser####.j####.360.cn:80
- TCP(HTTP/1.1) a.appj####.com:80
- TCP(TLS/1.0) ssl.gst####.com:443
- TCP(TLS/1.0) www.go####.nl:443
- TCP(TLS/1.0) www.go####.com:443
- TCP(TLS/1.0) www.gst####.com:443
- TCP(TLS/1.0) adser####.go####.com:443
Запросы DNS:
- a.appj####.com
- adser####.go####.com
- ser####.j####.360.cn
- ssl.gst####.com
- www.go####.com
- www.go####.nl
- www.gst####.com
Запросы HTTP POST:
- a.appj####.com/ad-service/ad/mark
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/.jiagu.lock
- /data/data/####/00D8F2D00D4C1A3A.xml
- /data/data/####/7C99CCB7B640EF43.xml
- /data/data/####/DDB-journal
- /data/data/####/WMkd.dex
- /data/data/####/__pasys_remote_banner.tmp.jar
- /data/data/####/jg_app_update_settings_random.xml
- /data/data/####/libjiagu.so
- /data/data/####/mjnvxw.t
- /data/media/####/WMkd
- /data/media/####/WMkd.zip
- /data/media/####/__pasys_remote_banner.jar
- /data/media/####/close_btn.jpg
- /data/media/####/hltrc
- /data/media/####/hltrc.zip
- /data/media/####/mjnvxw
- /data/media/####/pic.png
- /data/media/####/top_part.png
- /data/media/####/tsaz_bottom_part.png
- /data/media/####/tsaz_emo_icon.png
- /data/media/####/tsaz_install_all_btn.png
- /data/media/####/tsaz_install_btn.png
- /data/media/####/tsaz_item_scroll.png
- /data/media/####/tsaz_top_part.png
- /data/media/####/vi.png
- /data/media/####/yimeng222222222.png
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/mjnvxw -p <Package> -r am start --user 0 -n <Package>/muwzn.rcic.vhxlq -a daemon -h http://127.0.0.1:7123/report/allData -i 3009
- <Package Folder>/mjnvxw -p <Package> -r am start --user 0 -n <Package>/muwzn.rcic.vhxlq -a daemon -h http://127.0.0.1:7123/report/allData -i 3087
- <Package Folder>/mjnvxw -p <Package> -r am start --user 0 -n <Package>/muwzn.rcic.vhxlq -a daemon -h http://127.0.0.1:7123/report/allData -i 3144
- chmod 777 <Package Folder>/mjnvxw
- sh <Package Folder>/mjnvxw -p <Package> -r am start --user 0 -n <Package>/muwzn.rcic.vhxlq -a daemon -h http://127.0.0.1:7123/report/allData -i 3009
- sh <Package Folder>/mjnvxw -p <Package> -r am start --user 0 -n <Package>/muwzn.rcic.vhxlq -a daemon -h http://127.0.0.1:7123/report/allData -i 3087
- sh <Package Folder>/mjnvxw -p <Package> -r am start --user 0 -n <Package>/muwzn.rcic.vhxlq -a daemon -h http://127.0.0.1:7123/report/allData -i 3144
Загружает динамические библиотеки:
- cocos2dcpp
- duxjd
- libjiagu
Использует следующие алгоритмы для шифрования данных:
- DES
Использует следующие алгоритмы для расшифровки данных:
- DES
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о телефоне (номер, IMEI и т. д.).
Отрисовывает собственные окна поверх других приложений.
