Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.DownLoader.859.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) c5.res.m####.com:80
- TCP(HTTP/1.1) 58.2####.137.37:80
- TCP(HTTP/1.1) 2####.205.254.156:80
- TCP(HTTP/1.1) qzones####.mid.td####.com:80
- TCP(HTTP/1.1) api-t####.m####.com:80
- TCP(HTTP/1.1) luna-im####.qq.com.####.com:80
- TCP(TLS/1.0) s####.j####.cn:443
- UDP 1####.230.236.32:19000
- TCP 1####.230.236.44:7003
Запросы DNS:
- a####.u####.com
- api-t####.m####.com
- c3.res.m####.com
- c5.res.m####.com
- imgc####.qq.com
- qzones####.g####.cn
- s####.j####.cn
Запросы HTTP GET:
- api-t####.m####.com/wallpapers/public/collection/detail/49?os=####&mzos=...
- api-t####.m####.com/wallpapers/public/collection/detail/50?os=####&mzos=...
- c5.res.m####.com/fileserver/lockpaper/12/9deff13aefb9426cad3eb9d85cbe24e...
- c5.res.m####.com/fileserver/lockpaper/39/3f469fed390a4aabb55267d380f039f...
- c5.res.m####.com/fileserver/lockpaper/39/4c8c89230768482eb921c3dce84a0c5...
- c5.res.m####.com/fileserver/lockpaper/40/c0c678427b494362b460a6eff7f50a1...
- c5.res.m####.com/fileserver/lockpaper/41/062dd880df34486aac4cf5b48e3985b...
- c5.res.m####.com/fileserver/lockpaper/41/2aba244f57fa499a82f584af9f97b00...
- c5.res.m####.com/fileserver/lockpaper/41/692dd8734253432d8b2b01bd23a4944...
- c5.res.m####.com/fileserver/lockpaper/41/f1a0a851727d460fa128d17c8495048...
- c5.res.m####.com/fileserver/lockpaper/42/3ea1825083e6443c91757a2acbb02b2...
- c5.res.m####.com/fileserver/lockpaper/42/c5e0fcfcceea4f82b9c7458e9ef8fc3...
- c5.res.m####.com/fileserver/lockpaper/42/df1f7b6dadb2442d8b9f1cdb09a6c80...
- c5.res.m####.com/fileserver/lockpaper/43/26129f6aad79474fb4d0757b73a7083...
- c5.res.m####.com/fileserver/lockpaper/44/9aa4fba043c744f79832705d526209d...
- c5.res.m####.com/fileserver/lockpaper/44/c36ba9c9b555488eb39eb2e033acf98...
- c5.res.m####.com/fileserver/lockpaper/46/8e3a0128b33774774710ac235978ef3...
- c5.res.m####.com/fileserver/lockpaper/66/53729bb95b5f4570a7d0c09a2a5805b...
- c5.res.m####.com/fileserver/wallpaper/1/0e94070268db4146b9280057776e00a2...
- c5.res.m####.com/fileserver/wallpaper/114/d4e96545328849808a4673100bfcea...
- c5.res.m####.com/fileserver/wallpaper/211/01c18ca8c9e14a5ebc76b6540ee351...
- c5.res.m####.com/fileserver/wallpaper/211/440ff010a18548d28fac52bcf3f612...
- c5.res.m####.com/fileserver/wallpaper/211/eab5f93c72414cc694eace842a04be...
- c5.res.m####.com/fileserver/wallpaper/212/2abc53cc1af743da801e4e89c34db5...
- c5.res.m####.com/fileserver/wallpaper/215/5c8c3a55056f44779ffe5383c9a899...
- c5.res.m####.com/fileserver/wallpaper/239/746e8e8b8bc246388ddf8d4a7f97a2...
- c5.res.m####.com/fileserver/wallpaper/247/2ff98222bc96450db414e57d9c97bd...
- c5.res.m####.com/fileserver/wallpaper/310/2799049722c34cea91ca3de92cedfe...
- c5.res.m####.com/fileserver/wallpaper/379/11a76a149076492bb029f3c0b5e9ee...
- c5.res.m####.com/fileserver/wallpaper/381/28e11ebeb4624d5caf368da218692b...
- c5.res.m####.com/fileserver/wallpaper/484/e957fb400cd84cad9fc4d79f0132dd...
- c5.res.m####.com/fileserver/wallpaper/527/8c981f8861d848968f3f23e437dea2...
- luna-im####.qq.com.####.com/qzone/biz/gdt/mod/android/AndroidAllInOne/pr...
- qzones####.mid.td####.com/qzone/biz/gdt/mob/sdk/v2/android01/banner.appc...
- qzones####.mid.td####.com/qzone/biz/gdt/mob/sdk/v2/android01/banner.html
- qzones####.mid.td####.com/qzone/biz/gdt/mob/sdk/v2/android01/images/ad_l...
- qzones####.mid.td####.com/qzone/biz/gdt/mob/sdk/v2/android01/images/bann...
- qzones####.mid.td####.com/qzone/biz/gdt/mob/sdk/v2/android01/images/clos...
- qzones####.mid.td####.com/qzone/biz/gdt/mob/sdk/v2/android01/images/down...
- qzones####.mid.td####.com/qzone/biz/gdt/mob/sdk/v2/android01/images/gdt_...
- qzones####.mid.td####.com/qzone/biz/gdt/mob/sdk/v2/android01/images/icon...
- qzones####.mid.td####.com/qzone/biz/gdt/mob/sdk/v2/android01/images/sdk_...
- qzones####.mid.td####.com/qzone/biz/gdt/mob/sdk/v2/android01/images/tc-g...
- qzones####.mid.td####.com/qzone/biz/gdt/mob/sdk/v2/android01/images/tsa_...
- qzones####.mid.td####.com/qzone/biz/gdt/mob/sdk/v2/android01/js-release/...
- qzones####.mid.td####.com/qzone/biz/gdt/mob/sdk/v2/android01/js/lib/requ...
Запросы HTTP POST:
- a####.u####.com/app_logs
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/0944f3393fc1470039dd5651ef8578f9af78c4fc0253409....0.tmp
- /data/data/####/17d48b9366f4f46cff79e9e418f597d1de2dea5ba60aaa2....0.tmp
- /data/data/####/1bdf94e6273fc254187adb8071c6cce43d32675a8081ed5....0.tmp
- /data/data/####/235ccd1683fd080d3b2f3ece05d608f52f6f30e78370764....0.tmp
- /data/data/####/2c972706dcdd843a3ac850b76f19a618935d0dc12acd72e....0.tmp
- /data/data/####/39544ed43fcddf842e47c9a502e6ba28bc4d4ea218d081e....0.tmp
- /data/data/####/3d13f7eb6ebbd5009062b56ab7e0ded0a36c00900c7b0ff....0.tmp
- /data/data/####/44c88895916fc381f20df0a732a51abb35b53ab5e7b042b....0.tmp
- /data/data/####/52b8fac12643f52fb283b91f02884f0750e5beba231ce1f....0.tmp
- /data/data/####/5b9745ba750ba06525102983f1185286c41ded6de51f455....0.tmp
- /data/data/####/5e79adbb70cba18f40141ba4a33cc2a3df3d791b38237c1....0.tmp
- /data/data/####/6d6a0488dacf4e5cf66e108d93f1d283c0bc453ae029920....0.tmp
- /data/data/####/6dce4100c3c8e897ff0a76822fb82d4c6b84d37561321bf....0.tmp
- /data/data/####/7216f4973a844bcbb347d4c33cd49ae0057dd676d1494ab....0.tmp
- /data/data/####/7f11faae8fe4c92f7c376477dee3134ae7f5c0b291a3a6a....0.tmp
- /data/data/####/7fe00a40b8ac0cff2ea6c62e5a0546d0507f4d346bfb3a0....0.tmp
- /data/data/####/8a04458b78fb6047b1c98e6d8b1c57fcf99deb68fb7a733....0.tmp
- /data/data/####/924ee27d292a5df85322f0b13693959171240baad6bbae1....0.tmp
- /data/data/####/95707d001aa8a4fbc2d01a0ffb45b99a1bdfa98d0b183f1....0.tmp
- /data/data/####/994dc5ee73452ff6c10941399a0a97cbec36020ca0f699f....0.tmp
- /data/data/####/ApplicationCache.db-journal
- /data/data/####/BuglySdkInfos.xml
- /data/data/####/GDTSDK.db
- /data/data/####/GDTSDK.db-journal
- /data/data/####/aa1bf15f471d509e9c34f716a5a94171f24d4123aa71843....0.tmp
- /data/data/####/aaca7d9dc6dde82eb58bf9009e2a7c06ce465700dbf64bc....0.tmp
- /data/data/####/appPackageNames
- /data/data/####/b4f98d7d5faed9f9762828a8ab5a7c50739ed91e332ae93....0.tmp
- /data/data/####/ba6b66b77c209c24e03693afcef191b4fe4edde1b4893d1....0.tmp
- /data/data/####/bb347c2c93593217cbdac2e28372ffea5c9273588704ec7....0.tmp
- /data/data/####/bd2f30e98cfd26d5f964929701e91bcf4296daf29da6675....0.tmp
- /data/data/####/bf117913166e249d9579aad6811bec5d795a82672955495....0.tmp
- /data/data/####/c72d6e440945ddcdf355a1622d70617d3f6a30bafbdda7c....0.tmp
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/cn.jpush.android.user.profile.xml
- /data/data/####/cn.jpush.preferences.v2.xml
- /data/data/####/d65f03fa189cac3e904c08769e197bb539ffa3d1f04dd6f....0.tmp
- /data/data/####/d7f33bdc17af86db492fefd7bf753d492b06f09c9a42704....0.tmp
- /data/data/####/d7f6dc393aa8a8d4f94ac73b82233b3e9546032f71a8a7c....0.tmp
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/ddf1edee8127953ce175d68f57fd906b6f763d419e8e589....0.tmp
- /data/data/####/devCloudSetting.cfg
- /data/data/####/devCloudSetting.sig
- /data/data/####/e32bc77515df839fd4d15a2f30f2c532ddc295357fc90ae....0.tmp
- /data/data/####/e796d382d47eed07c4efa95158a551466d1089c9dd49fa0....0.tmp
- /data/data/####/ebc3f9b4a0c2de25cacd5ae021f342949b82457e7da29d1....0.tmp
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/fb8874d68c8ac2a9432bb0234546c61c134cf264253945f....0.tmp
- /data/data/####/gdt_plugin.jar
- /data/data/####/gdt_plugin.jar.sig
- /data/data/####/gdt_plugin.next.sig
- /data/data/####/gdt_plugin.tmp
- /data/data/####/gdt_suid
- /data/data/####/index
- /data/data/####/journal.tmp
- /data/data/####/jpush_device_info.xml
- /data/data/####/jpush_local_notification.db
- /data/data/####/jpush_local_notification.db-journal
- /data/data/####/jpush_stat_cache_history.json
- /data/data/####/jpush_statistics.db
- /data/data/####/jpush_statistics.db-journal
- /data/data/####/libjiagu1528066939.so
- /data/data/####/news-journal
- /data/data/####/sdkCloudSetting.cfg
- /data/data/####/sdkCloudSetting.sig
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/update_lc
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/.push_deviceid
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu1528066939.so
Загружает динамические библиотеки:
- jpush220
- libjiagu1528066939
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS7Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-ECB-PKCS7Padding
- RSA-ECB-PKCS1Padding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
