Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Locker.1198.origin
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(HTTP/1.1) www.x####.cn:80
- TCP(TLS/1.0) 1####.217.17.106:443
- TCP(TLS/1.0) p####.google####.com:443
- TCP(TLS/1.0) safebro####.google####.com:443
- TCP(TLS/1.0) www.google####.com:443
- TCP(TLS/1.0) 1####.217.168.202:443
- TCP(TLS/1.0) md####.google####.com:443
- TCP(TLS/1.0) 1####.217.168.206:443
- TCP(TLS/1.2) 1####.217.168.206:443
- TCP(TLS/1.2) 1####.217.168.202:443
- TCP(TLS/1.2) 1####.217.19.195:443
Запросы DNS:
- instant####.google####.com
- m####.go####.com
- md####.google####.com
- p####.google####.com
- safebro####.google####.com
- www.google####.com
- www.x####.cn
Запросы HTTP GET:
- www.x####.cn/iapp/document/user_wdread.php?wdid=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jgck
- /data/data/####/classes.dex
- /data/data/####/classes.oat
- /data/data/####/libjiagu.so
- /data/data/####/proc_auxv
- /data/media/####/.appkey
- /data/media/####/0
- /data/media/####/0.aac
- /data/media/####/0.xml
- /data/media/####/00
- /data/media/####/00.aac
- /data/media/####/00.xml
- /data/media/####/01
- /data/media/####/01.aac
- /data/media/####/01.xml
- /data/media/####/02
- /data/media/####/02.aac
- /data/media/####/02.xml
- /data/media/####/03
- /data/media/####/03.aac
- /data/media/####/03.xml
- /data/media/####/04
- /data/media/####/04.aac
- /data/media/####/04.xml
- /data/media/####/05
- /data/media/####/05.aac
- /data/media/####/05.xml
- /data/media/####/06
- /data/media/####/06.aac
- /data/media/####/06.xml
- /data/media/####/07
- /data/media/####/07.aac
- /data/media/####/07.xml
- /data/media/####/08
- /data/media/####/08.aac
- /data/media/####/08.xml
- /data/media/####/09
- /data/media/####/09.aac
- /data/media/####/09.xml
- /data/media/####/0A
- /data/media/####/0A.aac
- /data/media/####/0A.xml
- /data/media/####/0B
- /data/media/####/0B.aac
- /data/media/####/0B.xml
- /data/media/####/0C
- /data/media/####/0C.aac
- /data/media/####/0C.xml
- /data/media/####/0D
- /data/media/####/0D.aac
- /data/media/####/0D.xml
- /data/media/####/0E
- /data/media/####/0E.aac
- /data/media/####/0E.xml
- /data/media/####/0F
- /data/media/####/0F.aac
- /data/media/####/0F.xml
- /data/media/####/0G
- /data/media/####/0G.aac
- /data/media/####/0G.xml
- /data/media/####/0H
- /data/media/####/0H.aac
- /data/media/####/0H.xml
- /data/media/####/0I
- /data/media/####/0I.aac
- /data/media/####/0I.xml
- /data/media/####/0J
- /data/media/####/0J.aac
- /data/media/####/0J.xml
- /data/media/####/0K
- /data/media/####/0K.aac
- /data/media/####/0K.xml
- /data/media/####/0L
- /data/media/####/0L.aac
- /data/media/####/0L.xml
- /data/media/####/0M
- /data/media/####/0M.aac
- /data/media/####/0M.xml
- /data/media/####/0N
- /data/media/####/0N.aac
- /data/media/####/0N.xml
- /data/media/####/0O
- /data/media/####/0O.aac
- /data/media/####/0O.xml
- /data/media/####/0P
- /data/media/####/0P.aac
- /data/media/####/0P.xml
- /data/media/####/0Q
- /data/media/####/0Q.aac
- /data/media/####/0Q.xml
- /data/media/####/0R
- /data/media/####/0R.aac
- /data/media/####/0R.xml
- /data/media/####/0S
- /data/media/####/0S.aac
- /data/media/####/0S.xml
- /data/media/####/0T
- /data/media/####/0T.aac
- /data/media/####/0T.xml
- /data/media/####/0U
- /data/media/####/0U.aac
- /data/media/####/0U.xml
- /data/media/####/0V
- /data/media/####/0V.aac
- /data/media/####/0V.xml
- /data/media/####/0W
- /data/media/####/0W.aac
- /data/media/####/0W.xml
- /data/media/####/0X
- /data/media/####/0X.aac
- /data/media/####/0X.xml
- /data/media/####/0Y
- /data/media/####/0Y.aac
- /data/media/####/0Y.xml
- /data/media/####/0Z
- /data/media/####/0Z.aac
- /data/media/####/0Z.xml
- /data/media/####/0a
- /data/media/####/0a.aac
- /data/media/####/0a.xml
- /data/media/####/0b
- /data/media/####/0b.aac
- /data/media/####/0b.xml
- /data/media/####/0c.aac
- /data/media/####/0c.xml
- /data/media/####/0d.aac
- /data/media/####/0d.xml
- /data/media/####/0e.aac
- /data/media/####/0e.xml
- /data/media/####/0f.aac
- /data/media/####/0f.xml
- /data/media/####/0g.aac
- /data/media/####/0g.xml
- /data/media/####/0h.aac
- /data/media/####/0h.xml
- /data/media/####/0i.aac
- /data/media/####/0i.xml
- /data/media/####/0j.aac
- /data/media/####/0j.xml
- /data/media/####/0k.aac
- /data/media/####/0k.xml
- /data/media/####/0l.aac
- /data/media/####/0l.xml
- /data/media/####/0m.aac
- /data/media/####/0m.xml
- /data/media/####/0n.aac
- /data/media/####/0n.xml
- /data/media/####/0o.aac
- /data/media/####/0o.xml
- /data/media/####/0p.aac
- /data/media/####/0p.xml
- /data/media/####/0q.aac
- /data/media/####/0q.xml
- /data/media/####/0r.aac
- /data/media/####/0r.xml
- /data/media/####/0s.aac
- /data/media/####/0s.xml
- /data/media/####/0t.aac
- /data/media/####/0t.xml
- /data/media/####/0u.aac
- /data/media/####/0u.xml
- /data/media/####/0v.aac
- /data/media/####/0v.xml
- /data/media/####/0w.aac
- /data/media/####/0w.xml
- /data/media/####/0x.aac
- /data/media/####/0x.xml
- /data/media/####/0y.aac
- /data/media/####/0y.xml
- /data/media/####/0z.aac
- /data/media/####/0z.xml
- /data/media/####/1
- /data/media/####/1.aac
- /data/media/####/1.xml
- /data/media/####/10.aac
- /data/media/####/10.xml
- /data/media/####/11.aac
- /data/media/####/11.xml
- /data/media/####/12.aac
- /data/media/####/12.xml
- /data/media/####/13.aac
- /data/media/####/13.xml
- /data/media/####/14.aac
- /data/media/####/14.xml
- /data/media/####/15.aac
- /data/media/####/15.xml
- /data/media/####/16.aac
- /data/media/####/16.xml
- /data/media/####/17.aac
- /data/media/####/17.xml
- /data/media/####/18.aac
- /data/media/####/18.xml
- /data/media/####/19.aac
- /data/media/####/19.xml
- /data/media/####/1A.aac
- /data/media/####/1A.xml
- /data/media/####/1B.aac
- /data/media/####/1B.xml
- /data/media/####/1C.aac
- /data/media/####/1C.xml
- /data/media/####/1D.aac
- /data/media/####/1D.xml
- /data/media/####/1E.aac
- /data/media/####/1E.xml
- /data/media/####/1F.aac
- /data/media/####/1F.xml
- /data/media/####/1G.aac
- /data/media/####/1G.xml
- /data/media/####/1H.aac
- /data/media/####/1H.xml
- /data/media/####/1I.aac
- /data/media/####/1I.xml
- /data/media/####/1J.aac
- /data/media/####/1J.xml
- /data/media/####/1K.aac
- /data/media/####/1K.xml
- /data/media/####/1L.aac
- /data/media/####/1L.xml
- /data/media/####/1M.aac
- /data/media/####/1M.xml
- /data/media/####/1N.aac
- /data/media/####/1N.xml
- /data/media/####/1O.aac
- /data/media/####/1O.xml
- /data/media/####/1P.aac
- /data/media/####/1P.xml
- /data/media/####/1Q.aac
- /data/media/####/1Q.xml
- /data/media/####/1R.aac
- /data/media/####/1S.aac
- /data/media/####/1T.aac
- /data/media/####/1U.aac
- /data/media/####/1V.aac
- /data/media/####/1W.aac
- /data/media/####/1X.aac
- /data/media/####/1Y.aac
- /data/media/####/1Z.aac
- /data/media/####/1a.aac
- /data/media/####/1b.aac
- /data/media/####/1c.aac
- /data/media/####/1d.aac
- /data/media/####/1e.aac
- /data/media/####/1f.aac
- /data/media/####/1g.aac
- /data/media/####/1h.aac
- /data/media/####/1i.aac
- /data/media/####/1j.aac
- /data/media/####/1k.aac
- /data/media/####/1l.aac
- /data/media/####/1m.aac
- /data/media/####/1n.aac
- /data/media/####/1o.aac
- /data/media/####/1p.aac
- /data/media/####/1q.aac
- /data/media/####/1r.aac
- /data/media/####/1s.aac
- /data/media/####/1t.aac
- /data/media/####/1u.aac
- /data/media/####/1v.aac
- /data/media/####/1w.aac
- /data/media/####/1x.aac
- /data/media/####/1y.aac
- /data/media/####/1z.aac
- /data/media/####/2
- /data/media/####/2.aac
- /data/media/####/2.xml
- /data/media/####/20.aac
- /data/media/####/21.aac
- /data/media/####/22.aac
- /data/media/####/23.aac
- /data/media/####/24.aac
- /data/media/####/25.aac
- /data/media/####/26.aac
- /data/media/####/27.aac
- /data/media/####/28.aac
- /data/media/####/29.aac
- /data/media/####/2A.aac
- /data/media/####/2B.aac
- /data/media/####/2C.aac
- /data/media/####/2D.aac
- /data/media/####/2E.aac
- /data/media/####/2F.aac
- /data/media/####/2G.aac
- /data/media/####/2H.aac
- /data/media/####/2I.aac
- /data/media/####/2J.aac
- /data/media/####/2K.aac
- /data/media/####/2L.aac
- /data/media/####/2M.aac
- /data/media/####/2N.aac
- /data/media/####/2O.aac
- /data/media/####/2P.aac
- /data/media/####/2Q.aac
- /data/media/####/2R.aac
- /data/media/####/2S.aac
- /data/media/####/2T.aac
- /data/media/####/2U.aac
- /data/media/####/2V.aac
- /data/media/####/2W.aac
- /data/media/####/2X.aac
- /data/media/####/2Y.aac
- /data/media/####/2Z.aac
- /data/media/####/2a.aac
- /data/media/####/2b.aac
- /data/media/####/2c.aac
- /data/media/####/2d.aac
- /data/media/####/2e.aac
- /data/media/####/2f.aac
- /data/media/####/2g.aac
- /data/media/####/2h.aac
- /data/media/####/2i.aac
- /data/media/####/2j.aac
- /data/media/####/2k.aac
- /data/media/####/2l.aac
- /data/media/####/2m.aac
- /data/media/####/2n.aac
- /data/media/####/2o.aac
- /data/media/####/2p.aac
- /data/media/####/2q.aac
- /data/media/####/2r.aac
- /data/media/####/2s.aac
- /data/media/####/2t.aac
- /data/media/####/2u.aac
- /data/media/####/2v.aac
- /data/media/####/2w.aac
- /data/media/####/2x.aac
- /data/media/####/2y.aac
- /data/media/####/2z.aac
- /data/media/####/3
- /data/media/####/3.aac
- /data/media/####/3.xml
- /data/media/####/30.aac
- /data/media/####/31.aac
- /data/media/####/32.aac
- /data/media/####/33.aac
- /data/media/####/34.aac
- /data/media/####/35.aac
- /data/media/####/36.aac
- /data/media/####/37.aac
- /data/media/####/38.aac
- /data/media/####/39.aac
- /data/media/####/3A.aac
- /data/media/####/3B.aac
- /data/media/####/3C.aac
- /data/media/####/3D.aac
- /data/media/####/3E.aac
- /data/media/####/3F.aac
- /data/media/####/3G.aac
- /data/media/####/3H.aac
- /data/media/####/3I.aac
- /data/media/####/3J.aac
- /data/media/####/3K.aac
- /data/media/####/3L.aac
- /data/media/####/3M.aac
- /data/media/####/3N.aac
- /data/media/####/3O.aac
- /data/media/####/3P.aac
- /data/media/####/3Q.aac
- /data/media/####/3R.aac
- /data/media/####/3S.aac
- /data/media/####/3T.aac
- /data/media/####/3U.aac
- /data/media/####/3V.aac
- /data/media/####/3W.aac
- /data/media/####/3X.aac
- /data/media/####/3Y.aac
- /data/media/####/3Z.aac
- /data/media/####/3a.aac
- /data/media/####/3b.aac
- /data/media/####/3c.aac
- /data/media/####/3d.aac
- /data/media/####/3e.aac
- /data/media/####/3f.aac
- /data/media/####/3g.aac
- /data/media/####/3h.aac
- /data/media/####/3i.aac
- /data/media/####/3j.aac
- /data/media/####/3k.aac
- /data/media/####/3l.aac
- /data/media/####/3m.aac
- /data/media/####/3n.aac
- /data/media/####/3o.aac
- /data/media/####/3p.aac
- /data/media/####/3q.aac
- /data/media/####/3r.aac
- /data/media/####/3s.aac
- /data/media/####/3t.aac
- /data/media/####/4
- /data/media/####/4.aac
- /data/media/####/4.xml
- /data/media/####/5
- /data/media/####/5.aac
- /data/media/####/5.xml
- /data/media/####/6
- /data/media/####/6.aac
- /data/media/####/6.xml
- /data/media/####/7
- /data/media/####/7.aac
- /data/media/####/7.xml
- /data/media/####/8
- /data/media/####/8.aac
- /data/media/####/8.xml
- /data/media/####/9
- /data/media/####/9.aac
- /data/media/####/9.xml
- /data/media/####/A
- /data/media/####/A.aac
- /data/media/####/A.xml
- /data/media/####/AndroidManifest.xml
- /data/media/####/B
- /data/media/####/B.aac
- /data/media/####/B.xml
- /data/media/####/C
- /data/media/####/C.aac
- /data/media/####/C.xml
- /data/media/####/CERT.RSA
- /data/media/####/CERT.SF
- /data/media/####/D
- /data/media/####/D.aac
- /data/media/####/D.xml
- /data/media/####/E
- /data/media/####/E.aac
- /data/media/####/E.xml
- /data/media/####/F
- /data/media/####/F.aac
- /data/media/####/F.xml
- /data/media/####/G
- /data/media/####/G.aac
- /data/media/####/G.xml
- /data/media/####/H
- /data/media/####/H.aac
- /data/media/####/H.xml
- /data/media/####/I
- /data/media/####/I.aac
- /data/media/####/I.xml
- /data/media/####/J
- /data/media/####/J.aac
- /data/media/####/J.xml
- /data/media/####/K
- /data/media/####/K.aac
- /data/media/####/K.xml
- /data/media/####/L
- /data/media/####/L.aac
- /data/media/####/L.xml
- /data/media/####/M
- /data/media/####/M.aac
- /data/media/####/M.xml
- /data/media/####/MANIFEST.MF
- /data/media/####/N
- /data/media/####/N.aac
- /data/media/####/N.xml
- /data/media/####/O
- /data/media/####/O.aac
- /data/media/####/O.xml
- /data/media/####/P
- /data/media/####/P.aac
- /data/media/####/P.xml
- /data/media/####/Q
- /data/media/####/Q.aac
- /data/media/####/Q.xml
- /data/media/####/R
- /data/media/####/R.aac
- /data/media/####/R.xml
- /data/media/####/S
- /data/media/####/S.aac
- /data/media/####/S.xml
- /data/media/####/T
- /data/media/####/T.aac
- /data/media/####/T.xml
- /data/media/####/U
- /data/media/####/U.aac
- /data/media/####/U.xml
- /data/media/####/V
- /data/media/####/V.aac
- /data/media/####/V.xml
- /data/media/####/W
- /data/media/####/W.aac
- /data/media/####/W.xml
- /data/media/####/X
- /data/media/####/X.aac
- /data/media/####/X.xml
- /data/media/####/Y
- /data/media/####/Y.aac
- /data/media/####/Y.xml
- /data/media/####/Z
- /data/media/####/Z.aac
- /data/media/####/Z.xml
- /data/media/####/a
- /data/media/####/a.aac
- /data/media/####/a.xml
- /data/media/####/b
- /data/media/####/b.aac
- /data/media/####/b.xml
- /data/media/####/bin.txt
- /data/media/####/c
- /data/media/####/c.aac
- /data/media/####/c.xml
- /data/media/####/classes.dex
- /data/media/####/d
- /data/media/####/d.aac
- /data/media/####/d.xml
- /data/media/####/e
- /data/media/####/e.aac
- /data/media/####/e.xml
- /data/media/####/extra_conf1g.xml
- /data/media/####/f
- /data/media/####/f.aac
- /data/media/####/f.xml
- /data/media/####/g
- /data/media/####/g.aac
- /data/media/####/g.xml
- /data/media/####/gx.txt
- /data/media/####/h
- /data/media/####/h.aac
- /data/media/####/h.xml
- /data/media/####/help.txt
- /data/media/####/i
- /data/media/####/i.aac
- /data/media/####/i.xml
- /data/media/####/ibc.ibc
- /data/media/####/ibc.zip
- /data/media/####/j
- /data/media/####/j.aac
- /data/media/####/j.xml
- /data/media/####/k
- /data/media/####/k.aac
- /data/media/####/k.xml
- /data/media/####/l
- /data/media/####/l.aac
- /data/media/####/l.xml
- /data/media/####/lib.so
- /data/media/####/libjiagu.so
- /data/media/####/libjiagu_x86.so
- /data/media/####/libluajava.so
- /data/media/####/libpl_droidsonroids_gif.so
- /data/media/####/libygsiyu.so
- /data/media/####/m
- /data/media/####/m.aac
- /data/media/####/m.xml
- /data/media/####/n
- /data/media/####/n.aac
- /data/media/####/n.xml
- /data/media/####/o
- /data/media/####/o.aac
- /data/media/####/o.xml
- /data/media/####/p
- /data/media/####/p.aac
- /data/media/####/p.xml
- /data/media/####/q
- /data/media/####/q.aac
- /data/media/####/q.xml
- /data/media/####/r
- /data/media/####/r.aac
- /data/media/####/r.xml
- /data/media/####/resources.arsc
- /data/media/####/s
- /data/media/####/s.aac
- /data/media/####/s.xml
- /data/media/####/sx.txt
- /data/media/####/t
- /data/media/####/t.aac
- /data/media/####/t.xml
- /data/media/####/u
- /data/media/####/u.aac
- /data/media/####/u.xml
- /data/media/####/v
- /data/media/####/v.aac
- /data/media/####/v.xml
- /data/media/####/w
- /data/media/####/w.aac
- /data/media/####/w.xml
- /data/media/####/x
- /data/media/####/x.aac
- /data/media/####/x.xml
- /data/media/####/y
- /data/media/####/y.aac
- /data/media/####/y.xml
- /data/media/####/ybc.qm.jks
- /data/media/####/z
- /data/media/####/z.aac
- /data/media/####/z.xml
Другие:
Запускает следующие shell-скрипты:
- /system/bin/dex2oat --instruction-set=x86 --dex-file=<Package Folder>/.jiagu/classes.dex --oat-file=<Package Folder>/.jiagu/classes.oat --inline-depth-limit=0 --compiler-filter=speed
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
