Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.SmsPayment.10.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) loc.map.b####.com:80
- TCP(TLS/1.0) api.map.b####.com:443
- TCP(TLS/1.0) 1####.78.24.40:443
- TCP(TLS/1.0) bj####.j####.cn:443
- TCP 1####.232.25.173:21003
- UDP 4####.56.81.193:19000
- TCP 2####.14.153.123:7006
- TCP 1####.232.25.173:21004
- UDP 1####.202.138.29:19000
Запросы DNS:
- api.map.b####.com
- bj####.j####.cn
- loc.map.b####.com
Запросы HTTP POST:
- loc.map.b####.com/sdk.php
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/-44355802-412004477
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/1fe056dd-465a-4e09-8f0f-7f50cc750b58
- /data/data/####/26408081-5062-4846-a644-e36026b30fef
- /data/data/####/323750822384438224
- /data/data/####/65c1c2f4-7430-4177-903c-b5944b995686
- /data/data/####/6d7a3354-eb86-42f7-afe1-0c3a8e5f12f9
- /data/data/####/7c3250c2-ec3b-4dbc-9a68-716cceb8e102
- /data/data/####/9663269b-4439-4625-b8be-d55d8215a024
- /data/data/####/IpInfos.xml
- /data/data/####/MessageStore.db-journal
- /data/data/####/MsgLogStore.db-journal
- /data/data/####/Push_Page_Config.xml
- /data/data/####/authStatus_com.hsby365.dyzx;remote.xml
- /data/data/####/bal.catch
- /data/data/####/bwc.catch
- /data/data/####/cn.jiguang.common.xml
- /data/data/####/cn.jiguang.sdk.address.xml
- /data/data/####/cn.jiguang.sdk.share.profile.xml
- /data/data/####/cn.jiguang.sdk.user.profile.xml
- /data/data/####/cn.jpush.android.user.profile.xml
- /data/data/####/cn.jpush.config.xml
- /data/data/####/cn.jpush.preferences.v2.rid.xml
- /data/data/####/cn.jpush.preferences.v2.xml
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/exchangeIdentity.json
- /data/data/####/firll.dat
- /data/data/####/hst.db
- /data/data/####/hst.db-journal
- /data/data/####/index
- /data/data/####/libcuid.so
- /data/data/####/libjiagu-184040188.so
- /data/data/####/push_stat_cache.json
- /data/data/####/rl.catch
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_general_config.xml.bak
- /data/data/####/umeng_it.cache
- /data/data/####/users.xml
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/.cuid
- /data/media/####/.cuid2
- /data/media/####/.push_deviceid
- /data/media/####/1wzf_07.png
- /data/media/####/2ddzt_03.png
- /data/media/####/JRoll.js
- /data/media/####/agreement.html
- /data/media/####/appcache.manifest.txt
- /data/media/####/appcache.php
- /data/media/####/appoint.html
- /data/media/####/appoint_detail.html
- /data/media/####/appoint_order_detail.js
- /data/media/####/appoint_order_list.js
- /data/media/####/balance.png
- /data/media/####/bg.png
- /data/media/####/bj_10.png
- /data/media/####/budui.png
- /data/media/####/c.png
- /data/media/####/cany1.png
- /data/media/####/cany2.png
- /data/media/####/cany3.png
- /data/media/####/cashier.html
- /data/media/####/cashier.js
- /data/media/####/cashier_appoint.png
- /data/media/####/cashier_buy.png
- /data/media/####/cashier_buy_s.png
- /data/media/####/cashier_code.png
- /data/media/####/cashier_create.png
- /data/media/####/cashier_detail.html
- /data/media/####/cashier_food.png
- /data/media/####/cashier_group.png
- /data/media/####/cashier_mall.png
- /data/media/####/cashier_pay.png
- /data/media/####/cashier_pay_s.png
- /data/media/####/cashier_printer.png
- /data/media/####/cashier_scan.png
- /data/media/####/cashier_scenic.png
- /data/media/####/cashier_set.html
- /data/media/####/cashier_set.js
- /data/media/####/cashier_setting.png
- /data/media/####/cashier_shop.png
- /data/media/####/cashier_success.html
- /data/media/####/cashier_success.js
- /data/media/####/cg_03.jpg
- /data/media/####/changPwd.js
- /data/media/####/changePwd.html
- /data/media/####/che_03.png
- /data/media/####/che_04.png
- /data/media/####/cjcgt_03.png
- /data/media/####/cjcgt_07.png
- /data/media/####/cjcgt_10.png
- /data/media/####/commodity.html
- /data/media/####/commodity.js
- /data/media/####/common.js
- /data/media/####/compare.png
- /data/media/####/coupon.png
- /data/media/####/couponList.html
- /data/media/####/couponList.js
- /data/media/####/coupon_big.png
- /data/media/####/css_whir.css
- /data/media/####/dct_03.png
- /data/media/####/dd_03.png
- /data/media/####/ddtu_03.png
- /data/media/####/deliver_pos.png
- /data/media/####/dibt_03.png
- /data/media/####/dl_07.png
- /data/media/####/dl_10.png
- /data/media/####/dlbj_03.jpg
- /data/media/####/dropload.css
- /data/media/####/dropload.js
- /data/media/####/dui.png
- /data/media/####/dySelect.css
- /data/media/####/dySelect.js
- /data/media/####/dzt1.png
- /data/media/####/dzt2.png
- /data/media/####/dzt3.png
- /data/media/####/ewm_03.jpg
- /data/media/####/fastclick.js
- /data/media/####/fht_03.png
- /data/media/####/fht_06.png
- /data/media/####/file.zig
- /data/media/####/foodshop.html
- /data/media/####/foodshop.js
- /data/media/####/foodshop_all.html
- /data/media/####/foodshop_calll.js
- /data/media/####/foodshop_cancel.html
- /data/media/####/foodshop_create.js
- /data/media/####/foodshop_eat.html
- /data/media/####/foodshop_list.html
- /data/media/####/foodshop_menu.html
- /data/media/####/foodshop_menu.js
- /data/media/####/foodshop_order.html
- /data/media/####/foodshop_order_list.html
- /data/media/####/foodshop_order_list.js
- /data/media/####/foodshop_report.html
- /data/media/####/foodshop_report.js
- /data/media/####/foodshop_reserve.html
- /data/media/####/foodshop_row_list.html
- /data/media/####/foodshop_row_list.js
- /data/media/####/foodshop_table_list.html
- /data/media/####/foodshop_table_list.js
- /data/media/####/freeMoney.png
- /data/media/####/fuwut_03.png
- /data/media/####/fuwut_06.png
- /data/media/####/g_03.png
- /data/media/####/g_05.png
- /data/media/####/g_07.png
- /data/media/####/g_09.png
- /data/media/####/gdt_03.png
- /data/media/####/group_detail.html
- /data/media/####/group_detail.js
- /data/media/####/group_list.html
- /data/media/####/group_list.js
- /data/media/####/guadan.html
- /data/media/####/guadan.js
- /data/media/####/hht_07.jpg
- /data/media/####/hht_12.jpg
- /data/media/####/hsj_20.png
- /data/media/####/hykt_03.png
- /data/media/####/hykt_07.png
- /data/media/####/index.html
- /data/media/####/index.js
- /data/media/####/index_03.png
- /data/media/####/index_05.png
- /data/media/####/index_10.png
- /data/media/####/index_11.png
- /data/media/####/index_16.png
- /data/media/####/index_17.png
- /data/media/####/index_21.png
- /data/media/####/index_22.png
- /data/media/####/iscroll.js
- /data/media/####/jinz_03.jpg
- /data/media/####/jquery-1.8.3.min.js
- /data/media/####/jroll-infinite.js
- /data/media/####/jsdd_03.png
- /data/media/####/jsddt_03.png
- /data/media/####/jsddt_06.png
- /data/media/####/jsddt_10.png
- /data/media/####/jsddt_12.png
- /data/media/####/jsddt_14.png
- /data/media/####/jsddt_15.png
- /data/media/####/jsddt_24.png
- /data/media/####/kd-img1.png
- /data/media/####/kd-img2.png
- /data/media/####/kd-img3.png
- /data/media/####/kd-img4.png
- /data/media/####/kd_03.png
- /data/media/####/kd_07.png
- /data/media/####/kd_11.png
- /data/media/####/kf_icon1.png
- /data/media/####/kf_icon2.png
- /data/media/####/launch.html
- /data/media/####/layer.css
- /data/media/####/layer.m.js
- /data/media/####/ljt.png
- /data/media/####/loading.gif
- /data/media/####/login.html
- /data/media/####/login.js
- /data/media/####/logo.png
- /data/media/####/lt_03.png
- /data/media/####/mall.html
- /data/media/####/mall_detail.html
- /data/media/####/mallicon.png
- /data/media/####/md_03.png
- /data/media/####/md_06.png
- /data/media/####/mobiscroll.2.13.2.css
- /data/media/####/mobiscroll.2.13.2.js
- /data/media/####/mobiscroll_min.css
- /data/media/####/more_03.png
- /data/media/####/my_pos.png
- /data/media/####/n.png
- /data/media/####/name.png
- /data/media/####/new_order.mp3
- /data/media/####/not_03.jpg
- /data/media/####/notice.png
- /data/media/####/orderDetail.css
- /data/media/####/order_detail.css
- /data/media/####/ph_03.png
- /data/media/####/ph_13.png
- /data/media/####/ph_16.png
- /data/media/####/ph_21.png
- /data/media/####/ph_25.png
- /data/media/####/ph_28.png
- /data/media/####/phone.png
- /data/media/####/pigcms.css
- /data/media/####/pufapos.png
- /data/media/####/qh.png
- /data/media/####/qkt.jpg
- /data/media/####/ren_03.png
- /data/media/####/reservation.html
- /data/media/####/reservation_detail.html
- /data/media/####/retail.html
- /data/media/####/retail.js
- /data/media/####/road.png
- /data/media/####/rt_03.png
- /data/media/####/sanjiao.png
- /data/media/####/scan.png
- /data/media/####/scan_again.png
- /data/media/####/scan_express.png
- /data/media/####/setting.html
- /data/media/####/setting.js
- /data/media/####/settlement.html
- /data/media/####/settlement.js
- /data/media/####/shanc_03.png
- /data/media/####/shop.html
- /data/media/####/shop1.png
- /data/media/####/shopBoss.png
- /data/media/####/shop_detail.html
- /data/media/####/shop_details.html
- /data/media/####/shop_goods_statistics.js
- /data/media/####/shop_order.html
- /data/media/####/shop_order_detail.js
- /data/media/####/shop_order_list.js
- /data/media/####/shop_order_log.html
- /data/media/####/shop_order_log.js
- /data/media/####/sst_06.png
- /data/media/####/statistics.html
- /data/media/####/store.html
- /data/media/####/store.js
- /data/media/####/store_detail.html
- /data/media/####/store_detail.js
- /data/media/####/store_pos.png
- /data/media/####/store_qrcode.html
- /data/media/####/store_qrcode.js
- /data/media/####/storestaffAppoint.js
- /data/media/####/sub_card.png
- /data/media/####/sub_card_order_detail.html
- /data/media/####/sub_card_order_detail.js
- /data/media/####/sub_card_order_list.html
- /data/media/####/sub_card_order_list.js
- /data/media/####/sub_card_order_list1.html
- /data/media/####/swiper-3.3.1.jquery.min.js
- /data/media/####/swiper.css
- /data/media/####/swiper.min.js
- /data/media/####/sxt.png
- /data/media/####/sxt_03.png
- /data/media/####/t_03.jpg
- /data/media/####/taika.png
- /data/media/####/tb_06.png
- /data/media/####/tb_10.png
- /data/media/####/tb_13.png
- /data/media/####/tb_17.png
- /data/media/####/tb_18.png
- /data/media/####/tbty.png
- /data/media/####/tc.png
- /data/media/####/tc_03.png
- /data/media/####/tcbj_06.jpg
- /data/media/####/tct_03.jpg
- /data/media/####/tct_04.jpg
- /data/media/####/tct_05.jpg
- /data/media/####/tct_06.jpg
- /data/media/####/tht_11.png
- /data/media/####/ticket_order_detail.js
- /data/media/####/ticket_order_details.html
- /data/media/####/ticket_order_list.html
- /data/media/####/ticket_order_list.js
- /data/media/####/time.png
- /data/media/####/time_07.png
- /data/media/####/tst_03.png
- /data/media/####/tst_07.png
- /data/media/####/tst_10.png
- /data/media/####/user_avatar.jpg
- /data/media/####/version.txt
- /data/media/####/webapp_loading.html
- /data/media/####/weui.min.css
- /data/media/####/weui.min.js
- /data/media/####/wftpay.png
- /data/media/####/white_600.png
- /data/media/####/wxsm.jpg
- /data/media/####/wxsmt.png
- /data/media/####/x.png
- /data/media/####/x_03.png
- /data/media/####/x_033.png
- /data/media/####/xtb_03.png
- /data/media/####/xtb_06.png
- /data/media/####/xtb_08.png
- /data/media/####/xtb_14.png
- /data/media/####/xtb_16.png
- /data/media/####/xtb_20.png
- /data/media/####/xtb_22.png
- /data/media/####/xx_06.png
- /data/media/####/xzrq_06.png
- /data/media/####/xzrq_09.png
- /data/media/####/yh_10.png
- /data/media/####/yhjdt_06.png
- /data/media/####/yhjy_03.png
- /data/media/####/yhjy_131_02.png
- /data/media/####/yyddt_03.png
- /data/media/####/yzfpay.png
- /data/media/####/zftp_03.png
- /data/media/####/zftp_04.png
- /data/media/####/zftp_07.png
- /data/media/####/zftp_11.png
Другие:
Запускает следующие shell-скрипты:
- ps
Загружает динамические библиотеки:
- libjiagu-184040188
- locSDK7a
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
