Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Xiny.224.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) analy####.ray####.com:80
- TCP(HTTP/1.1) api.mo####.sdk.####.com:80
- TCP(HTTP/1.1) c3.sdkclic####.com:80
- TCP(HTTP/1.1) net.ray####.com:80
- TCP(HTTP/1.1) c.appj####.com:80
- TCP(HTTP/1.1) a.appj####.com:80
- TCP(HTTP/1.1) fk-old-####.ray####.com:80
- TCP(HTTP/1.1) m####.z####.cn:80
- TCP(HTTP/1.1) sok.apper####.com:80
- TCP(SSL/3.0) sett####.crashly####.com:443
- TCP(TLS/1.0) go1.phoeb####.com:443
- TCP(TLS/1.0) sett####.crashly####.com:443
- TCP(TLS/1.0) and####.cli####.go####.com:443
- TCP(TLS/1.0) api.face####.com:443
Запросы DNS:
- a.appj####.com
- analy####.ray####.com
- and####.cli####.go####.com
- api.mo####.sdk.####.com
- c.appj####.com
- c3.sdkclic####.com
- down####.xind####.com
- g####.face####.com
- go1.phoeb####.com
- m####.z####.cn
- mt####.go####.com
- net.ray####.com
- set####.ray####.com
- sett####.crashly####.com
- sok.apper####.com
- www.apex####.xyz
Запросы HTTP GET:
- api.mo####.sdk.####.com/adunion/slot/getDlAd?h=####&w=####&model=####&ve...
- api.mo####.sdk.####.com/adunion/slot/getSrcPrio?h=####&w=####&model=####...
- c3.sdkclic####.com/click/?adgroup_id=####&user_id=####&timeflag=####&mid...
- fk-old-####.ray####.com/appwall/setting?app_id=####&sign=####&platform=#...
- fk-old-####.ray####.com/appwall/setting?app_id=####&unit_id=####&sign=##...
- fk-old-####.ray####.com/setting?app_id=####&sign=####&platform=####&os_v...
- fk-old-####.ray####.com/setting?unit_ids=####&app_id=####&sign=####&plat...
- net.ray####.com/openapi/ad/v3?app_id=####&unit_id=####&category=####&req...
- net.ray####.com/openapi/ad/v3?app_id=####&unit_id=####&req_type=####&sig...
- sok.apper####.com/autumn/bpc?vvid=####&logid=####&gaid=####&appid=####&s...
Запросы HTTP POST:
- a.appj####.com/jiagu/check/upgrade
- analy####.ray####.com/
- c.appj####.com/ad/splash/stats.html
- m####.z####.cn/s
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/5E9A005500E8-0001-0881-472807D06934BeginSession.cls_temp
- /data/data/####/5E9A005500E8-0001-0881-472807D06934SessionApp.cls_temp
- /data/data/####/5E9A005500E8-0001-0881-472807D06934SessionCrash.cls_temp
- /data/data/####/5E9A005500E8-0001-0881-472807D06934SessionDevice.cls_temp
- /data/data/####/5E9A005500E8-0001-0881-472807D06934SessionOS.cls_temp
- /data/data/####/5E9A005500E8-0001-0881-472807D06934SessionUser.cls_temp
- /data/data/####/5E9A00910094-0002-0881-472807D06934BeginSession.cls_temp
- /data/data/####/5E9A00910094-0002-0881-472807D06934SessionApp.cls_temp
- /data/data/####/5E9A00910094-0002-0881-472807D06934SessionDevice.cls_temp
- /data/data/####/5E9A00910094-0002-0881-472807D06934SessionOS.cls_temp
- /data/data/####/6d2a0696772ebd565bfd9a9db497df95a1815c4fda3d9d3....0.tmp
- /data/data/####/FBAdPrefs.xml
- /data/data/####/SDKIDFA.xml
- /data/data/####/TwitterAdvertisingInfoPreferences.xml
- /data/data/####/_toolbox_prefs.xml
- /data/data/####/abr_db.db-journal
- /data/data/####/ad_show_time.xml
- /data/data/####/com.androidapp.backuprestore_preferences.xml
- /data/data/####/com.crashlytics.prefs.xml
- /data/data/####/com.crashlytics.sdk.android;answers;settings.xml
- /data/data/####/com.facebook.ads.FEATURE_CONFIG.xml
- /data/data/####/com.google.android.gms.appid-no-backup
- /data/data/####/com.google.android.gms.appid.xml
- /data/data/####/com.google.android.gms.measurement.prefs.xml
- /data/data/####/crash_marker
- /data/data/####/google_app_measurement_local.db
- /data/data/####/google_app_measurement_local.db-journal
- /data/data/####/initialization_marker
- /data/data/####/jg_app_update_settings_random.xml
- /data/data/####/journal.tmp
- /data/data/####/libjiagu.so
- /data/data/####/mobvista.msdk.db-journal
- /data/data/####/mobvista.xml
- /data/data/####/multidex.version.xml
- /data/data/####/qihoo_jiagu_crash_report.xml
- /data/data/####/sa_824a3647-bb22-4f39-af10-1405385103f0_1587150992883.tap
- /data/data/####/sa_9b054ac6-4848-450f-b369-6df5e8aa01b9_1587150992076.tap
- /data/data/####/sa_bc329ee2-f19f-490d-898d-8de74431b501_1587150947853.tap
- /data/data/####/sa_c4f1cb1b-d9d0-4bca-97d6-3bddc8c55f01_1587150990032.tap
- /data/data/####/sa_c90de6dc-c6ce-451c-9d33-187075d712d8_1587150998291.tap
- /data/data/####/session_analytics.tap
- /data/data/####/session_analytics.tap.tmp
- /data/data/####/share_date.xml
- /data/data/####/webview.db-journal
- /data/data/####/z.xml
- /data/media/####/ABR_Process_Log.log
- /data/media/####/ABR_TAG_Log.log
- /data/media/####/android_18
- /data/media/####/com.android.backupconfirm_18
- /data/media/####/com.android.basicsmsreceiver_18
- /data/media/####/com.android.bluetooth_18
- /data/media/####/com.android.browser_18
- /data/media/####/com.android.calculator2_18
- /data/media/####/com.android.calendar_18
- /data/media/####/com.android.certinstaller_18
- /data/media/####/com.android.contacts_18
- /data/media/####/com.android.defcontainer_18
- /data/media/####/com.android.deskclock_203
- /data/media/####/com.android.development_1
- /data/media/####/com.android.dialer_18
- /data/media/####/com.android.dreams.basic_18
- /data/media/####/com.android.email_410000
- /data/media/####/com.android.exchange_500000
- /data/media/####/com.android.galaxy4_1
- /data/media/####/com.android.gallery_18
- /data/media/####/com.android.htmlviewer_18
- /data/media/####/com.android.inputdevices_18
- /data/media/####/com.android.inputmethod.latin_18
- /data/media/####/com.android.keychain_18
- /data/media/####/com.android.launcher_18
- /data/media/####/com.android.location.fused_18
- /data/media/####/com.android.magicsmoke_18
- /data/media/####/com.android.mms_18
- /data/media/####/com.android.music_18
- /data/media/####/com.android.musicfx_10400
- /data/media/####/com.android.musicvis_18
- /data/media/####/com.android.onetimeinitializer_18
- /data/media/####/com.android.packageinstaller_18
- /data/media/####/com.android.phasebeam_1
- /data/media/####/com.android.phone_18
- /data/media/####/com.android.providers.applications_18
- /data/media/####/com.android.providers.calendar_18
- /data/media/####/com.android.providers.contacts_18
- /data/media/####/com.android.providers.downloads.ui_18
- /data/media/####/com.android.providers.downloads_18
- /data/media/####/com.android.providers.drm_18
- /data/media/####/com.android.providers.media_601
- /data/media/####/com.android.providers.settings_18
- /data/media/####/com.android.providers.telephony_18
- /data/media/####/com.android.providers.userdictionary_18
- /data/media/####/com.android.provision_18
- /data/media/####/com.android.quicksearchbox_18
- /data/media/####/com.android.settings_18
- /data/media/####/com.android.sharedstoragebackup_18
- /data/media/####/com.android.shell_18
- /data/media/####/com.android.soundrecorder_18
- /data/media/####/com.android.speechrecorder_18
- /data/media/####/com.android.systemui_18
- /data/media/####/com.android.vending_80210010
- /data/media/####/com.android.vpndialogs_18
- /data/media/####/com.android.wallpaper.holospiral_18
- /data/media/####/com.android.wallpaper.livepicker_18
- /data/media/####/com.android.wallpaper_18
- /data/media/####/com.androidapp.backuprestore_834
- /data/media/####/com.drweb.habilis_1
- /data/media/####/com.example.android.notepad_18
- /data/media/####/com.example.android.rssreader_18
- /data/media/####/com.google.android.gms_3158130
- /data/media/####/com.google.android.gsf.login_18
- /data/media/####/com.google.android.gsf_18
- /data/media/####/com.svox.pico_1
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- logcat -c
- logcat -f /storage/emulated/0/Android/data/<Package>/files/log/ABR_Process_Log.log -v time process |grep null|null
- ps
Загружает динамические библиотеки:
- libjiagu
Использует следующие алгоритмы для шифрования данных:
- RSA
- RSA-ECB-NoPadding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Получает информацию о входящих/исходящих звонках.
