Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Xiny.84.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) y####.b0.a####.com:80
- TCP(HTTP/1.1) s.y####.net:80
- TCP(HTTP/1.1) 1####.43.102.71:80
- TCP(HTTP/1.1) w####.datou####.com:80
- TCP(HTTP/1.1) t####.dmp.y####.net:80
- TCP(HTTP/1.1) new.w####.q####.com:80
- TCP(HTTP/1.1) www.beid####.com:80
- UDP 2####.0.0.1:9998
Запросы DNS:
- aos.w####.y####.net
- aow.d####.com
- api.and####.di####.com
- au.y####.net
- mt####.go####.com
- new.w####.q####.com
- s####.gw.y####.net
- s.y####.net
- t####.dmp.y####.net
- w####.datou####.com
- www.beid####.com
- wx.mob.q####.com
Запросы HTTP GET:
- new.w####.q####.com/index.php/androidwall/wall/adlist?data=FO####
- new.w####.q####.com/index.php/api/sdk/clickedandroid/connect?data=####
- s.y####.net/aos/v3/pns?s=####
- s.y####.net/stat/aos/v3/init?s=####
- s.y####.net/stat/aos/v3/pkc?s=####
- s.y####.net/stat/aos/v3/pku?s=####
- s.y####.net/v3/zip_upd?s=####
- w####.datou####.com/AdPublisherConnect?udid=####&device_name=####&device...
- www.beid####.com/fct/fileDownLoadAction?filePath=####
- y####.b0.a####.com/offer/dist/aos/pkg/3.3.1/offers_3.3.1.zip
Запросы HTTP POST:
- t####.dmp.y####.net/v1/android/packages?rt=####&sign=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jiagu.ls
- /data/data/####/4f9014f76580bf1db33013cb2fb8e9c7
- /data/data/####/4f9014f76580bf1db33013cb2fb8e9c7-journal
- /data/data/####/8394eb619517205e8ff5c412b13462ed
- /data/data/####/8394eb619517205e8ff5c412b13462ed-journal
- /data/data/####/CE94557724F842149D690D0E8CBB1CBD.xml
- /data/data/####/Hawk
- /data/data/####/Hawk-journal
- /data/data/####/OFFERSCONFIG1.xml
- /data/data/####/OxgHkj2lz09F
- /data/data/####/OxgHkj2lz09F-journal
- /data/data/####/P15pKIjsm64m
- /data/data/####/P15pKIjsm64m-journal
- /data/data/####/T1oX0rhhuXWt
- /data/data/####/T1oX0rhhuXWt-journal
- /data/data/####/XKwVoK0huy3R
- /data/data/####/XKwVoK0huy3R-journal
- /data/data/####/a416abac5128b0bf65ec818208727ed8.zip
- /data/data/####/arrow-left-pink.png
- /data/data/####/arrow-left.png
- /data/data/####/arrow-right-pink.png
- /data/data/####/arrow-right.png
- /data/data/####/ba638bd6fa4fb9004f3e8126b0254af3
- /data/data/####/ba638bd6fa4fb9004f3e8126b0254af3-journal
- /data/data/####/blank.gif
- /data/data/####/close-icon.png
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/datouniao_config.xml
- /data/data/####/default.png
- /data/data/####/detail-wx-miniprogram.html
- /data/data/####/detail-wx-miniprogram.js
- /data/data/####/detail-wx.html
- /data/data/####/detail-wx.js
- /data/data/####/detail.html
- /data/data/####/detail.js
- /data/data/####/dtn_ad_sys.db-journal
- /data/data/####/exchangeIdentity.json
- /data/data/####/feedback.html
- /data/data/####/feedback.js
- /data/data/####/form.css
- /data/data/####/global.js
- /data/data/####/index
- /data/data/####/jqIqJYOT3JpT
- /data/data/####/jqIqJYOT3JpT-journal
- /data/data/####/libjiagu.so
- /data/data/####/libjianzhixae.so
- /data/data/####/lists.css
- /data/data/####/lists.html
- /data/data/####/lists.js
- /data/data/####/md5.js
- /data/data/####/mipush.xml
- /data/data/####/mipush_extra.xml
- /data/data/####/nointernet.png
- /data/data/####/pic_friend_step1.jpg
- /data/data/####/pic_friend_step2.jpg
- /data/data/####/pic_friend_step3.jpg
- /data/data/####/pic_friend_step4.jpg
- /data/data/####/pic_friend_step5.jpg
- /data/data/####/pic_m.png
- /data/data/####/pic_tips_01.png
- /data/data/####/pic_tips_02.png
- /data/data/####/pic_xiaochengxu_kefu_step1.png
- /data/data/####/pic_xiaochengxu_kefu_step2.png
- /data/data/####/pic_xiaochengxu_kefu_step3.png
- /data/data/####/pic_xiaochengxu_kefu_step4.png
- /data/data/####/pic_xiaochengxu_kefu_step5.png
- /data/data/####/pic_xiaochengxu_kefu_step6.png
- /data/data/####/pic_xiaochengxu_step1.png
- /data/data/####/pic_xiaochengxu_step2.png
- /data/data/####/pic_xiaochengxu_step3.png
- /data/data/####/pic_xiaochengxu_step4.png
- /data/data/####/pic_xiaochengxu_step5.png
- /data/data/####/preference_daow.xml
- /data/data/####/preferences.xml
- /data/data/####/result.png
- /data/data/####/rule.html
- /data/data/####/savedtime.xml
- /data/data/####/sdetail.html
- /data/data/####/share.css
- /data/data/####/share.html
- /data/data/####/share.js
- /data/data/####/sprite-face.png
- /data/data/####/sprite-icons.png
- /data/data/####/sprite-icons2.png
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/wIU6pTyUBYWX
- /data/data/####/wIU6pTyUBYWX-journal
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/wsUL1uCdKvjD
- /data/data/####/wsUL1uCdKvjD-journal
- /data/data/####/wx-qr-step1.jpg
- /data/data/####/wx-qr-step2.jpg
- /data/data/####/wx-qr-step3.jpg
- /data/data/####/wx-qr-step4.jpg
- /data/data/####/wx-qr-step5.jpg
- /data/data/####/wx-step1.jpg
- /data/data/####/wx-step2.jpg
- /data/data/####/wx-step3.jpg
- /data/data/####/wx-step4.jpg
- /data/data/####/wx-step5.jpg
- /data/data/####/wx-wifi-step1.jpg
- /data/data/####/wx-wifi-step2.jpg
- /data/data/####/wx-wifi-step3.jpg
- /data/data/####/wx-wifi-step4.jpg
- /data/data/####/wx-wifi-step5.jpg
- /data/data/####/xUtils_http_cookie.db-journal
- /data/media/####/4f381e4a18db964acd607fbc01c91ab6
- /data/media/####/4f381e4a18db964acd607fbc01c91ab6.ymtf
- /data/media/####/E51653CCC9CBBE0C621F65A73009E5C1
- /data/media/####/android.zip
- /data/media/####/data.js
- /data/media/####/explain.html
- /data/media/####/feedback.html
- /data/media/####/i42d45df023jnkdd93la483f9xGFKXI
- /data/media/####/index.html
- /data/media/####/iwall-back.png
- /data/media/####/iwall-notice.png
- /data/media/####/iwall-notice01.png
- /data/media/####/jquery-1.8.0.min.js
- /data/media/####/jquery.mobile-1.4.5.min.css
- /data/media/####/jquery.mobile-1.4.5.min.js
- /data/media/####/log.lock
- /data/media/####/log1.txt
- /data/media/####/rz.png
- /data/media/####/s92TjjdfoP2n3o9dfji2l9s1olkjf0p
- /data/media/####/sign-notice.png
- /data/media/####/style.css
Другие:
Запускает следующие shell-скрипты:
- cat sys/class/net/eth0/address
- cat sys/class/net/wlan0/address
Загружает динамические библиотеки:
- jianzhixac
- libjiagu
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-NoPadding
- AES-CBC-PKCS5Padding
- AES-ECB-PKCS7Padding
- DES-ECB-PKCS5Padding
- PBEWITHMD5andDES
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- PBEWITHMD5andDES
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
