Android.Packed.46553

Техническая информация

Вредоносные функции:

Выполняет код следующих детектируемых угроз:

Android.DownLoader.859.origin

Сетевая активность:

Подключается к:

UDP(DNS) <Google DNS>
TCP(HTTP/1.1) a####.u####.com:80
TCP(HTTP/1.1) l####.tbs.qq.com:80
TCP(HTTP/1.1) qp.yunanfu####.com:80
TCP(HTTP/1.1) t####.c####.q####.####.com:80
TCP(HTTP/1.1) m.kkk####.com:80
TCP(HTTP/1.1) 1####.151.139.237:80
TCP(HTTP/1.1) mfs.y####.com:80
TCP(HTTP/1.1) tvaxw####.g####.sina####.com:80
TCP(HTTP/1.1) sdk.c####.com:80
TCP(SSL/3.0) c####.baidust####.com.####.com:443
TCP(TLS/1.0) www.lan####.com:443
TCP(TLS/1.0) bo####.hua####.com:443
TCP(TLS/1.0) c####.baidust####.com.####.com:443
TCP(TLS/1.0) gm.mm####.com:443
TCP(TLS/1.0) ssls####.jom####.com:443
TCP(TLS/1.0) z.c####.com:443
TCP(TLS/1.0) www.a.sh####.com:443
TCP(TLS/1.0) zz.bdst####.com:443
TCP(TLS/1.0) www.sm####.com:443
TCP(TLS/1.0) c.c####.com:443

Запросы DNS:

a####.u####.com
bo####.hua####.com
c####.baidust####.com
c####.mm####.com
c.c####.com
g####.bdst####.com
g####.bdst####.com
h####.c####.com
i####.m####.cn
l####.tbs.qq.com
m.kkk####.com
qp.yunanfu####.com
r1.y####.com
s6.c####.com
s95.c####.com
sdk.c####.com
sp0.b####.com
t####.sin####.cn
www.lan####.com
www.sm####.com
z4.c####.com
zz.bdst####.com

Запросы HTTP GET:

m.kkk####.com/
m.kkk####.com//movie/index_1_____addtime__1.html
mfs.y####.com/051000005D1443738B9429044B0B1F84
mfs.y####.com/051600005D47EE7D425BD92B611CEA7F
mfs.y####.com/mw690/005G9oZRly1g5p290my29j305006kweq.jpg
mfs.y####.com/mw690/c78ab0b6gy1g2ff3lb83pj20bf0gojv2.jpg
mfs.y####.com/mw690/c78ab0b6gy1g2fvqp34arj20b90go77d.jpg
mfs.y####.com/mw690/c78ab0b6gy1g2fwsjetx9j20j60rq784.jpg
mfs.y####.com/mw690/c78ab0b6gy1g2fyeqeouwj20b40gojvn.jpg
mfs.y####.com/mw690/c78ab0b6gy1g2g0ybjghxj20f00l70ui.jpg
mfs.y####.com/mw690/c78ab0b6gy1g53vp228a1j20780a0wgf.jpg
mfs.y####.com/mw690/c78ab0b6gy1g5ovfdj16qj207i0b8n1f.jpg
mfs.y####.com/mw690/c78ab0b6gy1g5oy3fzkzej2070096ac8.jpg
mfs.y####.com/mw690/c78ab0b6gy1g5pslmrajqj207i0aognx.jpg
qp.yunanfu####.com/kubo/dex/luomi10.72.dex
t####.c####.q####.####.com/mg/2019/03/29/095612.14234221_270X405X4.jpg
tvaxw####.g####.sina####.com/mw690/006NJnzmgy1fmhq2m11hij30b40fktbh.jpg
tvaxw####.g####.sina####.com/mw690/c78ab0b6gy1g5lohzxld2j207i0azjvd.jpg
tvaxw####.g####.sina####.com/mw690/c78ab0b6gy1g5or3lnzybj207i0al0ve.jpg
tvaxw####.g####.sina####.com/mw690/c78ab0b6gy1g5otzyw5szj207i0amgoa.jpg
tvaxw####.g####.sina####.com/mw690/c78ab0b6gy1g5pxbhcxb2j207i0aitdq.jpg
tvaxw####.g####.sina####.com/mw690/c78ab0b6gy1g5q1km1w7gj207i0apwii.jpg
tvaxw####.g####.sina####.com/mw690/c78ab0b6gy1g5qyyw8ep7j207i0b9tb1.jpg
tvaxw####.g####.sina####.com/mw690/c78ab0b6gy1g5r6fnc57qj207i0ann2h.jpg

Запросы HTTP POST:

a####.u####.com/app_logs
l####.tbs.qq.com/ajax?c=####&k=####
sdk.c####.com/versiontapi.php?v=####&type=####

Изменения в файловой системе:

Создает следующие файлы:

/data/data/####/.imprint
/data/data/####/.jg.ic
/data/data/####/1533a7580f307fa38ce60b393897ccfd0f119558269309c....0.tmp
/data/data/####/15a8df6d2d6de7793ad190fe7d9875941e70d087291a4ff....0.tmp
/data/data/####/2ed7db0bd6af29b5a21ec684d625a4e4329cbb4ec96bdb3....0.tmp
/data/data/####/38f93726ba42004751c69a3bb3e743f24163da38f31e8ed....0.tmp
/data/data/####/42a12ba6bd543794d42d4f8e5e8c3ee2c6b941583ffecad....0.tmp
/data/data/####/5261e96ddd54fe142b9813b7d0b5ef95c205109339a5d77....0.tmp
/data/data/####/5caf932c26e08c606136d1aaadf03e18039f7a0d4ed6928....0.tmp
/data/data/####/637723dd02a2011f8f1357fb6ae5c6d977fb80596604978....0.tmp
/data/data/####/66ddd788ff9c6df111e9882cf225c38656ad549fa591262....0.tmp
/data/data/####/6e221f3155a50b0202e08001e7e20aaa420b1b73305f190....0.tmp
/data/data/####/83488e58532d0fa3dd796101b0158f58eb94830ec0af4da....0.tmp
/data/data/####/8bf226e9244a0201e04bac5a4b11656db92f7ff59b12277....0.tmp
/data/data/####/95dcdfa5197f655acc4df3598591b7af2dc18dbc4bff683....0.tmp
/data/data/####/DownloadTaskStore.db-journal
/data/data/####/a4d116ce7b0aa74388b0c66c02d010dd70a49a13daa440a....0.tmp
/data/data/####/ae06b843c40ceaffde9245f8dc49ca5ca9188beb1ca4b52....0.tmp
/data/data/####/b2623fc5a050753a67c51138f9e6450a82c945ef794f6c5....0.tmp
/data/data/####/b4e6ccec7f08550542b9d697c7c8792696efeb3673a56e4....0.tmp
/data/data/####/b7b4ee9f7cd800e47ed7136ab3a040690710e2239e742a3....0.tmp
/data/data/####/bdbbcb6036233808fecb21976d46c06791ac7357f6724fe....0.tmp
/data/data/####/cc.db
/data/data/####/cc.db-journal
/data/data/####/core_info
/data/data/####/dianrui_cache.xml
/data/data/####/e1b429c5f857a7d2090663c60d2fee3a6a63df3bf787b0e....0.tmp
/data/data/####/e24a799e0bc2359c5c5b6ec8858baa3ed529dbf9e8e06b5....0.tmp
/data/data/####/e7df50912c0b0e8d040a5dbfa6c020604a7c05dfe4042d2....0.tmp
/data/data/####/eaecc141dd0e47c75cf2f0f2f532e9e544a3f36a0f3eb35....0.tmp
/data/data/####/exchangeIdentity.json
/data/data/####/exid.dat
/data/data/####/f85babaddfb3ff64695a645b81f65c68c4a21f0e1e226c1....0.tmp
/data/data/####/fee0c610fc881da7bd829f397e4c69f127b8b24061ce0b9....0.tmp
/data/data/####/jg_so_upgrade_setting.xml
/data/data/####/journal.tmp
/data/data/####/libjiagu.so
/data/data/####/tbs_download_config.xml
/data/data/####/tbs_download_stat.xml
/data/data/####/tbscoreinstall.txt
/data/data/####/tbslock.txt
/data/data/####/ua.db
/data/data/####/ua.db-journal
/data/data/####/umeng_general_config.xml
/data/data/####/umeng_it.cache
/data/media/####/.nomedia
/data/media/####/tbslog.txt

Другие:

Запускает следующие shell-скрипты:

chmod 755 <Package Folder>/.jiagu/libjiagu.so
getprop ro.product.cpu.abi

Загружает динамические библиотеки:

libjiagu

Использует следующие алгоритмы для шифрования данных:

AES-CBC-PKCS7Padding
RSA-ECB-NoPadding

Использует следующие алгоритмы для расшифровки данных:

AES-CBC-PKCS7Padding

Использует специальную библиотеку для скрытия исполняемого байт-кода.

Получает информацию о сети.

Получает информацию о телефоне (номер, IMEI и т. д.).

Отрисовывает собственные окна поверх других приложений.

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней