Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Wondertek.5.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) r####.uu.qq.com:80
Запросы DNS:
- r####.uu.qq.com
Запросы HTTP POST:
- r####.uu.qq.com/rqd/sync
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/FZLTHJW.TTF
- /data/data/####/bugly_db (deleted)
- /data/data/####/bugly_db-journal
- /data/data/####/bugly_db-journal (deleted)
- /data/data/####/com.bjxsrcl.warmmall_preferences.xml
- /data/data/####/com.bjxsrcl.warmmall_preferences.xml.bak (deleted)
- /data/data/####/com_wondertek_sweethat.zip
- /data/data/####/comrepository.xml
- /data/data/####/fontConfig.xml
- /data/data/####/framework.dat
- /data/data/####/jg_so_upgrade_setting.xml
- /data/data/####/libapi.so
- /data/data/####/libjiagu.so
- /data/data/####/qihoo_jiagu_crash_report.xml
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop ro.board.platform
- /system/bin/sh -c getprop ro.build.fingerprint
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- getprop ro.board.platform
- getprop ro.build.fingerprint
Загружает динамические библиотеки:
- Bugly
- api
- comrepository
- libjiagu
Использует следующие алгоритмы для шифрования данных:
- DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- DES-CBC-PKCS5Padding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о телефоне (номер, IMEI и т. д.).
Отрисовывает собственные окна поверх других приложений.
