Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.DownLoader.570.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) 36.1####.213.226:80
- TCP(HTTP/1.1) api.vu####.com.####.net:80
- TCP(HTTP/1.1) ads.m####.com:80
- TCP(HTTP/1.1) www.tinyp####.net:80
- TCP(HTTP/1.1) diguoLo####.ap-nort####.elb.####.com:80
- TCP(HTTP/1.1) f.you####.com:80
- TCP(HTTP/1.1) 6####.com:80
- TCP(TLS/1.0) t3.chartb####.com:443
- TCP(TLS/1.0) googl####.g.doublec####.net:443
- TCP(TLS/1.0) d####.fl####.com:443
- TCP(TLS/1.0) cdn.vu####.com.####.net:443
- TCP(TLS/1.0) v2.chartb####.com:443
- TCP(TLS/1.0) l####.chartb####.com:443
- TCP y2.ey####.com:7072
- TCP y2.ey####.com:7073
- TCP 1####.200.221.131:7071
Запросы DNS:
- 6####.com
- a3.chartb####.com
- ads.m####.com
- api.vu####.com
- cd####.vu####.com
- d####.fl####.com
- diguoLo####.ap-nort####.elb.####.com
- f.you####.com
- googl####.g.doublec####.net
- l####.chartb####.com
- t3.chartb####.com
- v2.chartb####.com
- www.tinyp####.net
- y2.ey####.com
- y3.ey####.com
Запросы HTTP GET:
- 6####.com/GameManage3/appRewardConf.shtml?appId=####&appVersion=####&mac...
- ads.m####.com/m/ad?v=####&id=####&nv=####&dn=####&bundle=####&z=####&o=#...
- diguoLo####.ap-nort####.elb.####.com/GameManage/mobile.shtml?appId=####&...
- f.you####.com/cdn?id=####
- www.tinyp####.net/GameManage/mobile.shtml?appId=####&appVersion=####&dev...
Запросы HTTP POST:
- api.vu####.com.####.net/api/v4/config
- api.vu####.com.####.net/api/v4/new?app_id=####&isu=####
- api.vu####.com.####.net/api/v4/requestAd
- api.vu####.com.####.net/api/v4/sessionStart
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.YFlurrySenderIndex.info.AnalyticsData_SS79B7R2...D7_216
- /data/data/####/.YFlurrySenderIndex.info.AnalyticsMain
- /data/data/####/.jg.ic
- /data/data/####/.log.lock
- /data/data/####/.log.ls
- /data/data/####/.yflurrydatasenderblock.2c0b3b41-b8e9-4ce7-88ff...12e839
- /data/data/####/.yflurrydatasenderblock.36c2d989-19b2-4446-80b9...0a893e
- /data/data/####/.yflurrydatasenderblock.4057e9d7-542f-46c6-8a75...70c13f
- /data/data/####/.yflurrydatasenderblock.41e88d15-b912-4962-b60b...a01a6f
- /data/data/####/.yflurrydatasenderblock.5625c2dc-3399-425d-9bca...ce3fde
- /data/data/####/.yflurrydatasenderblock.5cae3cc1-d33e-48df-897b...e9e27d
- /data/data/####/.yflurrydatasenderblock.63e4fbbd-3bfd-405a-8624...c70bee
- /data/data/####/.yflurrydatasenderblock.69e86908-3490-436c-a7be...3bc68f
- /data/data/####/.yflurrydatasenderblock.6d7c1b8f-801e-4dc5-a456...a7634b
- /data/data/####/.yflurrydatasenderblock.8d739d6f-fe7c-4160-ac32...0db344
- /data/data/####/.yflurrydatasenderblock.9f08d7c4-f926-49d8-9ba6...196216
- /data/data/####/.yflurrydatasenderblock.a04b2cec-4ea4-401e-a32c...358a26
- /data/data/####/.yflurrydatasenderblock.a675058c-8260-49bb-93f4...e84c44
- /data/data/####/.yflurrydatasenderblock.a75ee822-4376-4465-9c4e...832ace
- /data/data/####/.yflurrydatasenderblock.af84dc53-e10a-4906-afd7...b84b50
- /data/data/####/.yflurrydatasenderblock.d26286c2-3cf6-46cd-8234...2fa48b
- /data/data/####/.yflurrydatasenderblock.d61d4dc3-517c-455f-abac...0dc735
- /data/data/####/.yflurrydatasenderblock.e6cf982f-4188-46f1-a28c...66f11a
- /data/data/####/.yflurrydatasenderblock.f3e36721-a0f2-46ad-b63b...d6edb4
- /data/data/####/.yflurrydatasenderblock.f757005f-4c98-44da-b196...c1a09e
- /data/data/####/.yflurrydatasenderblock.f7c5b264-348e-4aa3-8584...11048a
- /data/data/####/.yflurrydatasenderblock.f8d7e2c7-832d-44a1-8b27...08375f
- /data/data/####/.yflurrydatasenderblock.ffa4ab81-6231-4ded-aab4...930c13
- /data/data/####/.yflurryreport.-76f2aecc84b41a50
- /data/data/####/0.jar
- /data/data/####/1460683162801.dex
- /data/data/####/1460683162801.jar
- /data/data/####/1460683162801.tmp
- /data/data/####/356507059351895yd.db-journal
- /data/data/####/ApplicationCache.db-journal
- /data/data/####/FLURRY_SHARED_PREFERENCES.xml
- /data/data/####/SHARED_PRENFERENCE_LOCAL_ADDRESS.xml
- /data/data/####/VUNGLE_PUB_APP_INFO.xml
- /data/data/####/aypa0000.xml
- /data/data/####/aypb0000.xml
- /data/data/####/aypc0000.xml
- /data/data/####/ayqa0000.xml
- /data/data/####/ayqb0000.xml
- /data/data/####/cbPrefs.xml
- /data/data/####/cb_previous_session_info
- /data/data/####/com.google.android.gms.analytics.prefs.xml
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/gaClientId
- /data/data/####/google_analytics_v4.db-journal
- /data/data/####/https_googleads.g.doubleclick.net_0.localstorage-journal
- /data/data/####/index
- /data/data/####/jg_app_update_settings_random.xml
- /data/data/####/libjiagu.so
- /data/data/####/qihoo_jiagu_crash_report.xml
- /data/data/####/vungle-journal
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/yysa.xml
- /data/data/####/yysa356507059351895.xml
- /data/data/####/yysb356507059351895.xml
- /data/data/####/yysc356507059351895.xml
- /data/data/####/yysd356507059351895.xml
- /data/media/####/.adId
- /data/media/####/.nomedia
- /data/media/####/5d8477ee18cf4d0b3dc8152c_320-1568962543.mp4
- /data/media/####/768x1024
- /data/media/####/768x1024.png
- /data/media/####/ad.html
- /data/media/####/background.jpg
- /data/media/####/cfffcf18bae542e384016b0ce66248c650b34b74
- /data/media/####/cfffcf18bae542e384016b0ce66248c650b34b74.jpeg
- /data/media/####/data copy.js
- /data/media/####/data.js
- /data/media/####/floodFillLinear copy.js
- /data/media/####/floodFillLinear.js
- /data/media/####/front.png
- /data/media/####/hand.png
- /data/media/####/header.png
- /data/media/####/index.html
- /data/media/####/index.js
- /data/media/####/jquery-2.1.4.min.js
- /data/media/####/localVideo.mp4
- /data/media/####/logo.jpg
- /data/media/####/postRoll.zip
- /data/media/####/recommend1.jpg
- /data/media/####/recommend2.jpg
- /data/media/####/recommend3.jpg
- /data/media/####/static-etna-809384501
- /data/media/####/style copy.css
- /data/media/####/style.css
- /data/media/####/tip.png
- /data/media/####/utils.js
- /data/media/####/vungle-hide-ui.css
- /data/media/####/vungle-map-clicks.js
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
Загружает динамические библиотеки:
- game
- libjiagu
- ympg
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
