Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.HiddenAds.13.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.you####.com:80
- TCP(HTTP/1.1) d2.ireader####.com:80
- TCP(HTTP/1.1) d1.ireader####.com:80
- TCP(TLS/1.0) r####.ch####.top:443
- TCP(TLS/1.0) www.ireader####.com:443
- TCP(TLS/1.0) and####.cli####.go####.com:443
Запросы DNS:
- a####.you####.com
- and####.cli####.go####.com
- d1.ireader####.com
- d2.ireader####.com
- fb.u####.com
- r####.ch####.top
- www.ireader####.com
Запросы HTTP GET:
- a####.you####.com/sx/GetConfigInfo.aspx?ver=####&passID=####&ver=####&cl...
- d1.ireader####.com/GoodBooks/Books/cover/2015-03-19/1937d9e3-8a29-4d79-b...
- d1.ireader####.com/GoodBooks/Books/cover/2015-03-23/bd4fee55-f0a2-4558-9...
- d1.ireader####.com/GoodBooks/Books/cover/2015-03-30/6369fc8d-b933-4435-a...
- d1.ireader####.com/GoodBooks/Books/cover/2015-07-28/36ba05af-7865-4266-9...
- d1.ireader####.com/GoodBooks/Books/cover/2015-08-19/585b057e-9304-429f-a...
- d1.ireader####.com/GoodBooks/Books/cover/2016-01-25/01b2df02-7063-44be-a...
- d1.ireader####.com/GoodBooks/Books/cover/2016-04-10/e595ad98-34fd-4111-a...
- d1.ireader####.com/GoodBooks/Books/cover/2016-06-03/d82b82f5-9ef1-427d-9...
- d1.ireader####.com/GoodBooks/Books/cover/2017-01-13/a98f4ae0-236b-4246-8...
- d1.ireader####.com/GoodBooks/Books/cover/2017-04-22/2943efd3-88c7-4af5-8...
- d1.ireader####.com/GoodBooks/Books/cover/2017-06-09/e54cf5ae-89e2-4a45-b...
- d1.ireader####.com/GoodBooks/Books/cover/2017-09-11/74419d21-5e8e-463d-9...
- d1.ireader####.com/GoodBooks/Books/cover/2017-11-28/a3548f3b-4d47-4f2d-b...
- d1.ireader####.com/GoodBooks/Books/cover/2017-12-26/807adf2d-f6c9-4ed0-8...
- d1.ireader####.com/GoodBooks/Books/cover/2018-01-03/f22bebca-d5b4-4bbc-a...
- d1.ireader####.com/GoodBooks/Books/cover/2018-01-23/953b597d-e271-4558-a...
- d1.ireader####.com/GoodBooks/Books/cover/2018-02-10/5313852f-1fcf-4d59-a...
- d1.ireader####.com/GoodBooks/Books/cover/2018-03-07/dde7f7a7-1076-42ed-8...
- d1.ireader####.com/GoodBooks/Books/cover/2018-05-26/18e078e9-3c27-4035-9...
- d1.ireader####.com/GoodBooks/Books/cover/2018-06-26/6f76db2b-9ee6-4c63-8...
- d1.ireader####.com/GoodBooks/Books/cover/2018-11-09/d97056f1-fc61-4b98-8...
- d1.ireader####.com/GoodBooks/Books/cover/2018-11-21/801a6db2-f5c1-4c9c-8...
- d1.ireader####.com/GoodBooks/Books/cover/2019-06-06/169e8872-772b-43d7-9...
- d2.ireader####.com/GoodBooks/Books/cover/2015-03-25/40b53382-d5b1-4da6-9...
- d2.ireader####.com/GoodBooks/Books/cover/2015-06-19/7aaa5483-edb0-417f-9...
- d2.ireader####.com/GoodBooks/Books/cover/2015-07-02/b41420dc-ed33-40c5-9...
- d2.ireader####.com/GoodBooks/Books/cover/2015-07-10/66cbb027-d73c-4557-9...
- d2.ireader####.com/GoodBooks/Books/cover/2015-09-18/c505a759-c92f-42ef-8...
- d2.ireader####.com/GoodBooks/Books/cover/2016-04-16/6c79e9df-2b52-488f-a...
- d2.ireader####.com/GoodBooks/Books/cover/2016-08-19/be534156-6525-4ff8-a...
- d2.ireader####.com/GoodBooks/Books/cover/2016-08-26/8ed95684-3895-460c-b...
- d2.ireader####.com/GoodBooks/Books/cover/2016-12-13/dc4a67fe-ab70-4659-8...
- d2.ireader####.com/GoodBooks/Books/cover/2017-04-22/2943efd3-88c7-4af5-8...
- d2.ireader####.com/GoodBooks/Books/cover/2017-11-04/2491d92a-184a-4cd4-9...
- d2.ireader####.com/GoodBooks/Books/cover/2017-11-14/3c15503d-2844-4fa6-8...
- d2.ireader####.com/GoodBooks/Books/cover/2017-11-28/a3548f3b-4d47-4f2d-b...
- d2.ireader####.com/GoodBooks/Books/cover/2018-04-11/0b297503-7ab6-4aa5-b...
- d2.ireader####.com/GoodBooks/Books/cover/2018-06-26/6f76db2b-9ee6-4c63-8...
- d2.ireader####.com/GoodBooks/Books/cover/2018-09-21/b4ee7221-2a18-4388-a...
- d2.ireader####.com/GoodBooks/Books/cover/2019-06-06/169e8872-772b-43d7-9...
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/aireader_v2-journal
- /data/data/####/c377.db-journal
- /data/data/####/c377sa.xml
- /data/data/####/com_ireader_city_you_qi.xml
- /data/data/####/ireader.db-journal
- /data/data/####/isr.xml
- /data/data/####/libjiagu-1244826743.so
- /data/data/####/multidex.version.xml
- /data/data/####/reperm.xml
- /data/data/####/umeng_feedback_conversations.xml
- /data/data/####/umeng_feedback_user_info.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_message_state.xml
- /data/data/####/www.ireadercity.com.443
- /data/media/####/.did
- /data/media/####/0053878af73941be95a529167bc17201jpgx.tmp
- /data/media/####/006009d120bb420cace032d0669d7521jpgx.tmp
- /data/media/####/0098917f69ab4ccea6ea240a262cf3b7jpgx.tmp
- /data/media/####/00c2f0fa5f9641b0ba3aedb0848f4907jpgx.tmp
- /data/media/####/01dde4a461f54bb4b541da11a23931e4jpgx.tmp
- /data/media/####/0ad14c981b5b45afb47bec0f0f2182e7jpgx.tmp
- /data/media/####/13aa6f433a57456785c4f10e9b374fffjpgx.tmp
- /data/media/####/18105590628443d59c30318c7eb57f85jpgx.tmp
- /data/media/####/20925a0fdda94574883dcf90f22a10b1jpgx.tmp
- /data/media/####/21a26d93182e494685e9d3fa2ea6e8b0jpgx.tmp
- /data/media/####/32873170d9d24f76a8c0d1c9a892399c.dat
- /data/media/####/38cad977393c446fac942b6baf85d919jpgx.tmp
- /data/media/####/49044c311e374c95b5006cea51d7a352jpgx.tmp
- /data/media/####/4a957e5fd81d4e70802711da65d1d049jpgx.tmp
- /data/media/####/4a957e5fd81d4e70802711da65d1d049jpgx_bak
- /data/media/####/4be929a8dbbc4cbcb5f3278dc1a5d90djpgx.tmp
- /data/media/####/525c6387660e498cb98aa7c1c82d288ejpgx.tmp
- /data/media/####/57bccf27697a460a999fe9545c514c85.dat
- /data/media/####/5b5aef51349d4acfab629f4e3072671bjpgx.tmp
- /data/media/####/5cbe38dc88744000b6722c84f8cb582fjpgx.tmp
- /data/media/####/73de259d5c9e463ba5b9f32e62fa1162jpgx.tmp
- /data/media/####/74350c99cfbb4a68a4ce72c0343a4179jpgx.tmp
- /data/media/####/744e634b119e4de08f4a9cc2250f110bjpgx.tmp
- /data/media/####/81afa8789543424cbb564cdc157767b4jpgx.tmp
- /data/media/####/83b465bb18344229a21d32b947320935jpgx.tmp
- /data/media/####/86511a5b117b430db5a476e314916f93jpgx.tmp
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/a8045d6e6cac434597ceef8e05cdcb7ajpgx.tmp
- /data/media/####/afc92b3f356d48cdb16cd0d874ff4991jpgx.tmp
- /data/media/####/b426908ab92c42539db0ea424e24bce8jpgx.tmp
- /data/media/####/b495e9b231134ebfbd0d9a95a6a10200jpgx
- /data/media/####/b495e9b231134ebfbd0d9a95a6a10200jpgx.tmp
- /data/media/####/b6ccbda3413e437883460cea59622620jpgx.tmp
- /data/media/####/bd68dd5dd73245e0882796c28b2c900ejpgx.tmp
- /data/media/####/ccd5d58b21cf40899683e983b345608ejpgx.tmp
- /data/media/####/chapter_info_list.online
- /data/media/####/config.data
- /data/media/####/e60ce86e0e5a410bacad4d0f3eda93f9jpgx.tmp
- /data/media/####/e6bfb375052f466086342102d72d189cjpgx.tmp
- /data/media/####/ec713c3dba7e499f86fdd8e625947125jpgx.tmp
- /data/media/####/f09789acf13d43fabc506fd953c4e55ejpgx.tmp
- /data/media/####/f6c15d2598824ad398db321208aae1f9jpgx.tmp
- /data/media/####/home_infos_1.dat
- /data/media/####/home_infos_2.dat
- /data/media/####/import.dat
- /data/media/####/releated_list_4a957e5fd81d4e70802711da65d1d049.dat
Другие:
Запускает следующие shell-скрипты:
- ls -l /system/bin/su
Загружает динамические библиотеки:
- libjiagu-1244826743
- smssdk
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- DES
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о привязанных к устройству аккаунтах (Google, Facebook и т. д.).
Отрисовывает собственные окна поверх других приложений.
