Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Xiny.246.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(TLS/1.0) yun.d####.com.cn:443
- TCP(TLS/1.0) embe####.d####.com.cn:443
- TCP(TLS/1.0) yun.tuit####.com.####.com:443
- TCP(TLS/1.0) s####.j####.cn:443
- TCP(TLS/1.0) yun.d####.com:443
- TCP(TLS/1.0) yun.tuis####.com:443
- TCP(TLS/1.0) fi####.d####.com:443
- TCP(TLS/1.0) 1####.217.20.110:443
- TCP(TLS/1.0) s####.tc.qq.com:443
- TCP(TLS/1.0) en####.lveha####.com:443
- TCP(TLS/1.0) fp-st####.b0.a####.com:443
- TCP(TLS/1.0) m####.ton####.net:443
- TCP 1####.25.17.101:7004
- UDP s.j####.cn:19000
Запросы DNS:
- a####.u####.com
- acti####.tuia####.com
- embe####.d####.com.cn
- en####.lveha####.com
- fi####.d####.com
- hunter-####.d####.com
- m####.ton####.net
- mob####.999.com
- r####.wx.qq.com
- s####.j####.cn
- s.j####.cn
- sis.j####.io
- st####.ton####.net
- yun.d####.com
- yun.d####.com.cn
- yun.tuia####.com
- yun.tuis####.com
- yun.tuit####.com
Запросы HTTP POST:
- a####.u####.com/app_logs
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.downloading.ids
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/JPushSA_Config.xml
- /data/data/####/appPackageNames
- /data/data/####/cn.jpush.android.user.profile.xml
- /data/data/####/cn.jpush.preferences.v2.xml
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/exchangeIdentity.json
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/f_000004
- /data/data/####/f_000005
- /data/data/####/f_000006
- /data/data/####/f_000007
- /data/data/####/f_000008
- /data/data/####/f_000009
- /data/data/####/f_00000a
- /data/data/####/f_00000b
- /data/data/####/f_00000c
- /data/data/####/f_00000d
- /data/data/####/f_00000e
- /data/data/####/f_00000f
- /data/data/####/f_000010
- /data/data/####/f_000011
- /data/data/####/f_000012
- /data/data/####/f_000013
- /data/data/####/f_000014
- /data/data/####/f_000015
- /data/data/####/f_000016
- /data/data/####/index
- /data/data/####/jpush_device_info.xml
- /data/data/####/jpush_local_notification.db
- /data/data/####/jpush_local_notification.db-journal
- /data/data/####/jpush_stat_cache.json
- /data/data/####/jpush_stat_cache_history.json
- /data/data/####/jpush_statistics.db
- /data/data/####/jpush_statistics.db-journal
- /data/data/####/libjiagu.so
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/.push_deviceid
- /data/media/####/my.properties
- /data/media/####/my.properties.lock
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
Загружает динамические библиотеки:
- jpush220
- libjiagu
- tongdun_db
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS7Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
