Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Cooee.11.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) 2####.30.114.54:80
- TCP(HTTP/1.1) api####.bao####.com:80
- TCP(HTTP/1.1) www.zh####.com:80
- TCP(HTTP/1.1) s####.gw.y####.net:80
- TCP(HTTP/1.1) s####.e.qq.com:80
- TCP(HTTP/1.1) 1####.159.224.95:80
- TCP(HTTP/1.1) mi.g####.qq.com:80
- TCP(HTTP/1.1) luna-im####.qq.com.####.com:80
- TCP(TLS/1.0) kln.g####.sina####.com:443
- TCP(TLS/1.0) analy####.map.qq.com:443
- TCP(TLS/1.0) s####.e.qq.com:443
- TCP(TLS/1.0) t####.m.qq.com:443
Запросы DNS:
- 7####.nd####.y####.com
- analy####.map.qq.com
- api####.bao####.com
- api.3####.cn
- d5.bao####.com
- imgc####.qq.com
- mi.g####.qq.com
- s####.e.qq.com
- s####.gw.y####.net
- s.a.longy####.com
- t####.m.qq.com
- www.zh####.com
Запросы HTTP GET:
- 1####.159.224.95/api_release.php
- 2####.30.114.54/wallpaper/default/discover?channelId=####&imei=####&vers...
- api####.bao####.com/calendar/cailing0225.png
- luna-im####.qq.com.####.com/qzone/biz/gdt/mod/android/AndroidAllInOne/pr...
- mi.g####.qq.com/gdt_mview.fcg?actual_width=####&count=####&r=####&templa...
- s####.gw.y####.net/stat/v3/udt2?appid={"word":"/s?wd=??&s=####
- www.zh####.com/api_release.php
Запросы HTTP POST:
- 2####.30.114.54/wallpaper/default/index?name=####
- 2####.30.114.54/wallpaper/default/index?name=####&channelId=####&imei=##...
- api####.bao####.com/dh3g/default/index?name=####&channelId=####&imei=###...
- api####.bao####.com/wallpaper/default/carousel
- api####.bao####.com/wallpaper/default/getClass?channelId=####&imei=####&...
- api####.bao####.com/wallpaper/default/getlist?channelId=####&imei=####&v...
- api####.bao####.com/wallpaper/default/index?name=####
- api####.bao####.com/wallpaper/default/index?name=####&channelId=####&ime...
- s####.e.qq.com/activate
- s####.e.qq.com/getad
- s####.e.qq.com/launch
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/-169248287-740642811
- /data/data/####/.jg.ic
- /data/data/####/.turing.dat
- /data/data/####/3078.yaqcookie
- /data/data/####/BuglySdkInfos.xml
- /data/data/####/C0XKJAO3JLZKJPDKJFXLINQCJIOAOD.xml
- /data/data/####/GDTSDK.db
- /data/data/####/GDTSDK.db-journal
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/com.qq.e.sdkconfig.xml
- /data/data/####/config
- /data/data/####/devCloudSetting.cfg
- /data/data/####/devCloudSetting.sig
- /data/data/####/gdt_plugin.dex (deleted)
- /data/data/####/gdt_plugin.jar
- /data/data/####/gdt_plugin.jar.sig
- /data/data/####/gdt_plugin.tmp
- /data/data/####/gdt_plugin.tmp.sig
- /data/data/####/gdt_stat.db
- /data/data/####/gdt_stat.db-journal
- /data/data/####/gdt_suid
- /data/data/####/launcher.settings.prefs.xml
- /data/data/####/libMMANDKSignature.fc143058.so
- /data/data/####/libjiagu-781749247.so
- /data/data/####/libturingau.fc143058.so
- /data/data/####/libyaqbasic.fc143058.so
- /data/data/####/libyaqpro.fc143058.so
- /data/data/####/mpdc_105498_1
- /data/data/####/qihoo_jiagu_crash_report.xml
- /data/data/####/screen_lock_preference.xml
- /data/data/####/sdkCloudSetting.cfg
- /data/data/####/sdkCloudSetting.sig
- /data/data/####/turingfd_conf_105498_auMini.xml
- /data/data/####/turingfd_protect_105498_41_auMini.xml
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/update_lc
- /data/data/####/webview.db-journal
- /data/data/####/yaq.fc143058.sec
- /data/data/####/yaq2.fc143058.sec
- /data/data/####/yaq3_0.fc143058.sec
- /data/data/####/yaqsdkcookie
- /data/media/####/.nomedia
- /data/media/####/.turing.dat
- /data/media/####/1fe98cf53777fb1d4b5aedc7af352518fa03f86864ae7e....0.tmp
- /data/media/####/2ef2f539ee2784ccb87c8c1a76ee2d81d1900e76b84e39....0.tmp
- /data/media/####/3e588b95330df6f7459010ec65d2f44ed09390cac7f52d....0.tmp
- /data/media/####/47d22740428fdab8069fd75df23c319b160263fa3bf747....0.tmp
- /data/media/####/4f09f9108f8f59c269215cb9cabeb8af1fe64e0b1c2b3a....0.tmp
- /data/media/####/5399aa0bcff7875aefe30bbe9905887ed1aa8c2dc24058....0.tmp
- /data/media/####/555cb0281b93e1bfa516040f2a34521c925d2f59fe3342....0.tmp
- /data/media/####/5e731409d4674c6982d37c20aa8888a2cbea82ab570bf7....0.tmp
- /data/media/####/6074ce64dc5c606e87d117874b1604d937131cf0205ec0....0.tmp
- /data/media/####/6b0214c82790a1046689aa84b48f7821fd8d4a90ccd75f....0.tmp
- /data/media/####/7567a5ff79870b5bae61249a83f8ed40fe3afc2e0f47ab....0.tmp
- /data/media/####/7af47550740e43647fb3ef5908ff95580539430bbfa75c....0.tmp
- /data/media/####/89ba98942369dea2a792061e8fa85ed9a2d82da8cd4ac4....0.tmp
- /data/media/####/8aca5709a60b01bd4ea8bb4b036438f7811a66edc3aa16....0.tmp
- /data/media/####/96cbbcc8f5563c84a49bc9071af7ea84dc0481ff031fee....0.tmp
- /data/media/####/aa9323a67074f86937fecf1d3475b5e8328aa2a50fc44b....0.tmp
- /data/media/####/ac81429fc00dcfe0698b3ce7f40a01615eacc736aa59e4....0.tmp
- /data/media/####/c214a4ba77d2d6bfcd20006f921f1d3b1eb53dcf350418....0.tmp
- /data/media/####/c8f8b1599f7202195b03a9ebff21f85cec5163e3dbd900....0.tmp
- /data/media/####/d105b7be558926f22e931b89e1aa2d25b09477643269bf....0.tmp
- /data/media/####/d9bf6df52b09636cc13694793fc3e605c3d85a654cc616....0.tmp
- /data/media/####/dca263f72cddef95fb54f6b0f6847dcefb5d22debb4034....0.tmp
- /data/media/####/e34995ecd6a28b94b092e2d9829e5a11b4e6f1a119a6b0....0.tmp
- /data/media/####/e6f3a8b08d3dc5e176258134aa256202f31b1c2ad0970f....0.tmp
- /data/media/####/f826807cc8921261a5d9fd947990845d240f82df840b92....0.tmp
- /data/media/####/icon_-1133528357
- /data/media/####/icon_-2126571801
- /data/media/####/icon_744111373
- /data/media/####/journal
- /data/media/####/journal.tmp
- /data/media/####/null
- /data/media/####/null.jpg
Другие:
Запускает следующие shell-скрипты:
- /system/bin/df
- /system/bin/getprop
- <Package Folder>/app_bin/daemon -p <Package> -s com.example.zzb.screenlock.LockService -t 30
- chmod 755 <Package Folder>/.jiagu/libjiagu-781749247.so
- getprop
Загружает динамические библиотеки:
- libMMANDKSignature.fc143058
- libjiagu-781749247
- libturingau.fc143058
- libyaqbasic.fc143058
- libyaqpro.fc143058
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS7Padding
- PBEWITHMD5andDES
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS7Padding
- RSA-ECB-PKCS1Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об активных администраторах устройства.
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
