Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Spy.2442
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(TLS/1.0) api.map.b####.com:443
- TCP(TLS/1.0) api.huodong####.com:443
- TCP(TLS/1.0) dualsta####.wagbr####.ali####.####.com:443
- TCP(TLS/1.0) et2-na6####.wagbr####.ali####.####.com:443
- TCP(TLS/1.0) bj####.j####.cn:443
- TCP(TLS/1.0) gd-s####.j####.cn:443
- TCP(TLS/1.0) l####.cc:443
- TCP(TLS/1.0) t####.j####.cn:443
- UDP easytom####.com:19000
- TCP 1####.230.236.30:7010
Запросы DNS:
- ali-s####.j####.cn
- and####.b####.qq.com
- api.huodong####.com
- api.map.b####.com
- bj####.j####.cn
- easytom####.com
- gd-s####.j####.cn
- l####.cc
- log.u####.com
- plb####.u####.com
- s.j####.cn
- sis.j####.io
- t####.j####.cn
- u####.u####.com
Запросы HTTP POST:
- and####.b####.qq.com/rqd/async
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/4c55f76a-0ac3-4d38-8806-9195660069ec
- /data/data/####/88de5e0b-2e2c-4517-8c97-debc0d720a7f
- /data/data/####/88f2a45f-e611-4019-91eb-247d55a4e0f4
- /data/data/####/IpInfos.xml
- /data/data/####/LKME_Server_Request_Queue.xml
- /data/data/####/MultiDex.lock
- /data/data/####/Push_Page_Config.xml
- /data/data/####/UM_PROBE_DATA.xml
- /data/data/####/a==8.0.0&&6.6.6_1570136098821_envelope.log
- /data/data/####/accuvally.db-journal
- /data/data/####/ae73fb7c-e098-4379-9676-df913b3767d1
- /data/data/####/authStatus_com.accuvally.hdtui.xml
- /data/data/####/authStatus_com.accuvally.hdtui;pushcore.xml
- /data/data/####/bal.catch
- /data/data/####/bugly_db_-journal
- /data/data/####/bwc.catch
- /data/data/####/cn.jiguang.common.xml
- /data/data/####/cn.jiguang.sdk.address.xml
- /data/data/####/cn.jiguang.sdk.report.xml
- /data/data/####/cn.jiguang.sdk.share.profile.xml
- /data/data/####/cn.jiguang.sdk.user.profile.xml
- /data/data/####/cn.jpush.android.user.profile.xml
- /data/data/####/cn.jpush.config.xml
- /data/data/####/cn.jpush.preferences.v2.rid.xml
- /data/data/####/cn.jpush.preferences.v2.xml
- /data/data/####/dW1weF9pbnRlcm5hbF8xNTcwMTM2MDk2NDU2;
- /data/data/####/dW1weF9zaGFyZV8xNTcwMTM2MDk5NjE2;
- /data/data/####/dW1weF9zaGFyZV8xNTcwMTM2MDk5NjU4;
- /data/data/####/data.xml
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/f9a29c86-4e8c-481e-a9a2-3b1a2287f527
- /data/data/####/fe114548-044d-4ad8-9d0d-398271f30a96
- /data/data/####/hdt.db-journal
- /data/data/####/i==1.2.0&&6.6.6_1570136096478_envelope.log
- /data/data/####/info.xml
- /data/data/####/libcuid.so
- /data/data/####/libjiagu-1687714987.so
- /data/data/####/linkedme_referral_shared_pref.xml
- /data/data/####/multidex.version.xml
- /data/data/####/per_user.xml
- /data/data/####/push_stat_cache.json
- /data/data/####/pushcore_umeng_common_config.xml
- /data/data/####/rl.catch
- /data/data/####/security_info
- /data/data/####/share.db-journal
- /data/data/####/t==8.0.0&&6.6.6_1570136098215_envelope.log
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/um_pri.xml
- /data/data/####/umdat.xml
- /data/data/####/umeng_common_config.xml
- /data/data/####/umeng_common_location.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/umeng_socialize.xml
- /data/media/####/.a.dat
- /data/media/####/.adfwe.dat
- /data/media/####/.cca.dat
- /data/media/####/.cuid
- /data/media/####/.cuid2
- /data/media/####/.lm_device_id
- /data/media/####/.nomedia
- /data/media/####/.push_deviceid
- /data/media/####/.umm.dat
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
- /system/bin/sh -c getprop ro.board.platform
- /system/bin/sh -c type su
- cat /sys/class/net/wlan0/address
- getprop ro.board.platform
- ls /
- ls /sys/class/thermal
- ps
Загружает динамические библиотеки:
- BaiduMapSDK_base_v5_2_1
- Bugly
- X86Bridge
- libjiagu-1687714987
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-GCM-NoPadding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-GCM-NoPadding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
