Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.DownLoader.589.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) b####.l####.top:80
- TCP(HTTP/1.1) de####.b0.a####.com:80
- TCP(HTTP/1.1) v####.camera:80
- TCP(TLS/1.0) 1####.217.17.142:443
- TCP(TLS/1.0) api.face####.com:443
- TCP(TLS/1.0) tracker####.my.com:443
- TCP(TLS/1.0) sett####.crashly####.com:443
- TCP(TLS/1.0) t.appsf####.com:443
- TCP(TLS/1.0) onesi####.com:443
- TCP(TLS/1.0) l####.4####.top:443
Запросы DNS:
- b####.l####.top
- cdn.app.1####.top
- cdn.app.h####.top
- g####.face####.com
- l####.4####.top
- onesi####.com
- sett####.crashly####.com
- t.appsf####.com
- tracker####.my.com
- v####.camera
Запросы HTTP GET:
- de####.b0.a####.com/swenjian/322
- de####.b0.a####.com/swenjian/322m
- de####.b0.a####.com/zzz/sgg
- v####.camera/init?lang=####
- v####.camera/list/1/foxy.jpg
- v####.camera/list/10/vinci_2.jpg
- v####.camera/list/12/poster.jpg
- v####.camera/list/15/42.jpg
- v####.camera/list/2/delaunay.jpg
- v####.camera/list/24/fabric.jpg
- v####.camera/list/26/harvest.jpg
- v####.camera/list/27/masquerade.jpg
- v####.camera/list/28/witch.jpg
- v####.camera/list/29/mars.jpg
- v####.camera/list/3/mystic.jpg
- v####.camera/list/34/shadow.jpg
- v####.camera/list/36/scndlnd.jpg
- v####.camera/list/38/ramayana.jpg
- v####.camera/list/4/artistic_1.jpg
- v####.camera/list/4201/times.jpg
- v####.camera/list/44/transverse.jpg
- v####.camera/list/5/pinup.jpg
- v####.camera/list/52/edtaonisl.jpg
- v####.camera/list/58/a5.jpg
- v####.camera/list/59/c1.jpg
- v####.camera/list/64/oil3.jpg
- v####.camera/list/66/gh1.jpg
- v####.camera/list/7/negron.jpg
- v####.camera/list/9/fire.jpg
Запросы HTTP POST:
- b####.l####.top/wakeup/hx
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/-Yd-Hy0VPTXFbfYterxOLqB3des.-235822446.tmp
- /data/data/####/.jg.ic
- /data/data/####/21MvKI9p8A9wpyLim5xXQrtD9f0.-1546428967.tmp
- /data/data/####/21MvKI9p8A9wpyLim5xXQrtD9f0.925926424.tmp
- /data/data/####/31hJtweMrz4pkLq7lngjxL-aEYE.-1546428967.tmp
- /data/data/####/31hJtweMrz4pkLq7lngjxL-aEYE.-1708040018.tmp
- /data/data/####/54fatc2cdC3dC8QNsLc2_Z1J2J4.-687026319.tmp
- /data/data/####/5DB3E53B0050-0001-084F-5788306D0ACEBeginSession.cls_temp
- /data/data/####/5DB3E53B0050-0001-084F-5788306D0ACESessionApp.cls_temp
- /data/data/####/5DB3E53B0050-0001-084F-5788306D0ACESessionDevice.cls_temp
- /data/data/####/5DB3E53B0050-0001-084F-5788306D0ACESessionOS.cls_temp
- /data/data/####/5DB3E53D0105-0001-08D5-5788306D0ACEBeginSession.cls_temp
- /data/data/####/5DB3E53D0105-0001-08D5-5788306D0ACESessionApp.cls_temp
- /data/data/####/5DB3E53D0105-0001-08D5-5788306D0ACESessionDevice.cls_temp
- /data/data/####/5DB3E53D0105-0001-08D5-5788306D0ACESessionOS.cls_temp
- /data/data/####/5DB3E5450025-0001-094A-5788306D0ACEBeginSession.cls_temp
- /data/data/####/5DB3E5450025-0001-094A-5788306D0ACESessionApp.cls_temp
- /data/data/####/5DB3E5450025-0001-094A-5788306D0ACESessionDevic...leted)
- /data/data/####/5DB3E5450025-0001-094A-5788306D0ACESessionDevice.cls_temp
- /data/data/####/5DB3E5450025-0001-094A-5788306D0ACESessionOS.cls_temp
- /data/data/####/6OTKxpowkmu7aKQwR5PMC2mCmyQ.1806355947.tmp
- /data/data/####/BSOQVdzV-4eJM19X9Nu6i3JMDDs.-543483527.tmp
- /data/data/####/BSOQVdzV-4eJM19X9Nu6i3JMDDs.1914314063.tmp
- /data/data/####/CZkkbwL6fRJFxdQC7GpkWqFohcU.-2036565511.tmp
- /data/data/####/CZkkbwL6fRJFxdQC7GpkWqFohcU.925926424.tmp
- /data/data/####/CzvcdyGoCDjVr7LWdQZSngvqlxk.-1075867075.tmp
- /data/data/####/CzvcdyGoCDjVr7LWdQZSngvqlxk.-2044402814.tmp
- /data/data/####/FASYYCQXrkRvSpFA3VnjU083d9E.-1381280844.tmp
- /data/data/####/FASYYCQXrkRvSpFA3VnjU083d9E.-1708040018.tmp
- /data/data/####/HJi8o7JDeX66BK6dDobgkjj_1vM.666018418.tmp
- /data/data/####/HqpMcKKPHspALqgCV7UBtxatB0I.1879328235.tmp
- /data/data/####/MdLQ5Xq1yswgRU7udvZFCTZusHg.2122802281.tmp
- /data/data/####/N9cpY_QJ2lItRMHvbQ33EKim_y8.782598392.tmp
- /data/data/####/OneSignal.db-journal
- /data/data/####/RxKrqMgyw0BEo_lwPBrPntdpIHw.-898579019.tmp
- /data/data/####/RxKrqMgyw0BEo_lwPBrPntdpIHw.385591414.tmp
- /data/data/####/Sgyr6Ic2q3UfuVA_aaZtE075U-w.1363647475.tmp
- /data/data/####/TwitterAdvertisingInfoPreferences.xml
- /data/data/####/W250KTulznCfvdsD9Z_YoaMKAbU.-1375648546.tmp
- /data/data/####/W250KTulznCfvdsD9Z_YoaMKAbU.828532955.tmp
- /data/data/####/aaGDHyAY8An2i7A4RUkfYhQGPMg.-1075867075.tmp
- /data/data/####/aaGDHyAY8An2i7A4RUkfYhQGPMg.385591414.tmp
- /data/data/####/aitwDtqJRh-u3tR4jtiNZIjLXww.-1882220465.tmp
- /data/data/####/aitwDtqJRh-u3tR4jtiNZIjLXww.828532955.tmp
- /data/data/####/an.xml
- /data/data/####/appsflyer-data.xml
- /data/data/####/bzwn.db-journal
- /data/data/####/com.crashlytics.prefs.xml
- /data/data/####/com.crashlytics.sdk.android;answers;settings.xml
- /data/data/####/com.crashlytics.settings.json
- /data/data/####/com.f.o.Kfdj.xml
- /data/data/####/com.f.o.Pn.jar
- /data/data/####/com.f.o.Pn.xml
- /data/data/####/com.facebook.internal.preferences.APP_SETTINGS.xml
- /data/data/####/com.google.android.gms.appid-no-backup
- /data/data/####/com.google.android.gms.appid.xml
- /data/data/####/com.google.android.gms.measurement.prefs.xml
- /data/data/####/disk_entries_list_fresco_cache_-1237904381.xml
- /data/data/####/disk_entries_list_fresco_cache_-1237904381.xml (deleted)
- /data/data/####/disk_entries_list_fresco_sticker_cache_-2102276735.xml
- /data/data/####/ebn.xml
- /data/data/####/fOjS2ONDgbs6q_UYnmRE9fxOV9U.-543483527.tmp
- /data/data/####/fOjS2ONDgbs6q_UYnmRE9fxOV9U.1914314063.tmp
- /data/data/####/initialization_marker
- /data/data/####/io.fabric.sdk.android;fabric;io.a.a.a.u.xml
- /data/data/####/lPfVwia651zzFPaAPZuNFYC-gK4.-2044402814.tmp
- /data/data/####/lPfVwia651zzFPaAPZuNFYC-gK4.-898579019.tmp
- /data/data/####/libjiagu.so
- /data/data/####/m5kB1MOLaYc8vSZC8gvSGHZIOBI.-2008318966.tmp
- /data/data/####/mytracker_04266073632825834351.db-journal
- /data/data/####/mytracker_prefs.xml
- /data/data/####/pYFJpmk63t81Zets2FEl92dZ5Ro.-1375648546.tmp
- /data/data/####/pYFJpmk63t81Zets2FEl92dZ5Ro.246367992.tmp
- /data/data/####/sUxVb0tJsjojEEOJTSCEhKt9N8U.-1882220465.tmp
- /data/data/####/sUxVb0tJsjojEEOJTSCEhKt9N8U.246367992.tmp
- /data/data/####/sa_298c46a0-3321-45c0-b27b-0b65fee09cdf_1572070715243.tap
- /data/data/####/session_analytics.tap
- /data/data/####/session_analytics.tap.tmp
- /data/data/####/vinci_default.xml
- /data/data/####/yGOcNAGAkqRN8ZmlR8cUv-ff2Zo.1014801144.tmp
- /data/data/####/yZ8ZrjBByelgpSOv6dWzkaDQsk8.-1381280844.tmp
- /data/data/####/yZ8ZrjBByelgpSOv6dWzkaDQsk8.-2036565511.tmp
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
Загружает динамические библиотеки:
- imagepipeline
- libjiagu
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Осуществляет доступ к интерфейсу камеры.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
