Техническая информация
Вредоносные функции:
Скрывает свою иконку с экрана.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) api.mob####.mob.com:80
- TCP(HTTP/1.1) api.wos####.com:80
- TCP(HTTP/1.1) 1####.211.155.179:80
- TCP(HTTP/1.1) pi####.qq.com:80
- TCP(TLS/1.0) api.wos####.com:443
- TCP(TLS/1.0) api.mob####.mob.com:443
Запросы DNS:
- api.mob####.mob.com
- api.wos####.com
- pi####.qq.com
- wen.wos####.com
Запросы HTTP GET:
- api.wos####.com/author/V4/recommendList.html?PS=####&PN=####&_cT=####&_c...
- api.wos####.com/config/activeV4.html?_cS=####&_cT=####&_cV=####&_cP=####...
- api.wos####.com/config/cVersion.html?_cT=####&_cV=####&_cP=####&_cA=####
- api.wos####.com/config/menu/topics.html?_cT=####&_cV=####&_cP=####&_cA=#...
- api.wos####.com/config/popV4.html?_cT=####&_cV=####&_cP=####&_cA=####
- api.wos####.com/config/screenImg.html?_cT=####&_cV=####&_cP=####&_cA=####
- api.wos####.com/config/tips.html?_cT=####&_cV=####&_cP=####&_cA=####
- api.wos####.com/news/v4/activeList.html?PS=####&type=####&key=####<ime...
- api.wos####.com/news/v4/index/timeline.html?PN=####&PS=####<ime=####&_...
- api.wos####.com/recommend/indexV4.html?_cS=####&_cT=####&_cV=####&_cP=##...
- api.wos####.com/recommend/liveVideo.html?_cT=####&_cV=####&_cP=####&_cA=...
Запросы HTTP POST:
- api.mob####.mob.com/conf
- api.wos####.com/user/bindDeviceInfo.html
- pi####.qq.com/mstat/report/?index=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.artc_lock
- /data/data/####/.at_lock
- /data/data/####/.di
- /data/data/####/.dic_lock
- /data/data/####/.duid
- /data/data/####/.globalLock
- /data/data/####/.im_lock
- /data/data/####/.jg.ic
- /data/data/####/.jg.ri
- /data/data/####/.jg.store.report_cf
- /data/data/####/.lesd_lock
- /data/data/####/.lock
- /data/data/####/.mrecord
- /data/data/####/.mrlock
- /data/data/####/.pg_lock
- /data/data/####/.pgs_lock
- /data/data/####/.rc_lock
- /data/data/####/.vpl_lock
- /data/data/####/14b29bea86507aa06dcb90a1db379b40.0.tmp
- /data/data/####/14b29bea86507aa06dcb90a1db379b40.1.tmp
- /data/data/####/202001180533740.v1.crash
- /data/data/####/27ed171926e7cd1c2e843f26783950e1.0.tmp
- /data/data/####/27ed171926e7cd1c2e843f26783950e1.1.tmp
- /data/data/####/2d2d26f6e1b5535b1edd3c1abdf996a6.0.tmp
- /data/data/####/2d2d26f6e1b5535b1edd3c1abdf996a6.1.tmp
- /data/data/####/37404885a2eb3755626761d70f768748.0.tmp
- /data/data/####/37404885a2eb3755626761d70f768748.1.tmp
- /data/data/####/37CF018B.dex
- /data/data/####/37CF018B.dex (deleted)
- /data/data/####/395df0844f887ce1334b15b260862807.0.tmp
- /data/data/####/395df0844f887ce1334b15b260862807.1.tmp
- /data/data/####/3e69677ac758ec62c3376d0b675ee6a1.0.tmp
- /data/data/####/3e69677ac758ec62c3376d0b675ee6a1.1.tmp
- /data/data/####/653dba3c827baec8b9ff835fa42a6a2c.0.tmp
- /data/data/####/653dba3c827baec8b9ff835fa42a6a2c.1.tmp
- /data/data/####/66569d4d98da1cf3eb4dcd2f0994f327.0.tmp
- /data/data/####/66569d4d98da1cf3eb4dcd2f0994f327.1.tmp
- /data/data/####/MOBLINK_1
- /data/data/####/MultiDex.lock
- /data/data/####/Push_Page_Config.xml
- /data/data/####/ResumeActHelper.xml
- /data/data/####/SP_AROUTER_CACHE.xml
- /data/data/####/ThrowalbeLog.db-journal
- /data/data/####/c1570472bcd0213b915d1f250b7f96a7.0.tmp
- /data/data/####/c1570472bcd0213b915d1f250b7f96a7.1.tmp
- /data/data/####/cn.jpush.config.xml
- /data/data/####/cn.jpush.preferences.v2.xml
- /data/data/####/com.woshipm.news.mid.world.ro.xml
- /data/data/####/com.woshipm.news.xml
- /data/data/####/com.woshipm.news_preferences.xml
- /data/data/####/f359ae378239d442965e2201c1a06da2.0.tmp
- /data/data/####/f359ae378239d442965e2201c1a06da2.1.tmp
- /data/data/####/journal.tmp
- /data/data/####/libjiagu-1803258675.so
- /data/data/####/mob_commons_1
- /data/data/####/mob_sdk_exception_1
- /data/data/####/multidex.version.xml
- /data/data/####/pri_tencent_analysis.db_com.woshipm.news-journal
- /data/data/####/qihoo_jiagu_crash_report.xml
- /data/data/####/sp_sophix.xml
- /data/data/####/tencent_analysis.db_com.woshipm.news-journal
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_common_config.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/update.xml
- /data/media/####/.mn_234987532
- /data/media/####/.slw
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
- cat /sys/class/net/wlan0/address
- logcat -c
- logcat -d -v time
Загружает динамические библиотеки:
- 37CF018B
- jcore216
- libjiagu-1803258675
- pl_droidsonroids_gif
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS7Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-ECB-NoPadding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Отрисовывает собственные окна поверх других приложений.
