Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Spy.562.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) api.tutia####.com:80
- TCP(HTTP/1.1) getip-1####.cos.myqc####.com:80
- TCP(HTTP/1.1) td.m####.cn:80
- TCP(HTTP/1.1) t####.talking####.net:80
- TCP(HTTP/1.1) pi####.qq.com:80
- UDP(NTP) 1.cn.p####.####.org:123
- TCP(TLS/1.0) jic.talking####.com:443
- TCP(TLS/1.0) co####.ad####.cn:443
Запросы DNS:
- 1.cn.p####.####.org
- a####.u####.com
- api.tutia####.com
- co####.ad####.cn
- getip-1####.cos.myqc####.com
- i####.cn
- jic.talking####.com
- pi####.qq.com
- t####.talking####.net
- td.m####.cn
Запросы HTTP GET:
- getip-1####.cos.myqc####.com/ips.xml
Запросы HTTP POST:
- a####.u####.com/app_logs
- api.tutia####.com/goldhome/userInfoController.do?getUser####
- pi####.qq.com/mstat/report/?index=####
- t####.talking####.net/g/d?crc=####
- td.m####.cn/api/q/a/3f565628a54ead6c51c0987c43b0fff91
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/SDK201609130907227l389ynhw52xncq_banner.xml
- /data/data/####/SDK2016091309072442715umsko8xf1q_banner.xml
- /data/data/####/SDK201609130907555do2fzvyp7lsezy_banner.xml
- /data/data/####/SDK20161008100716hp0h5axghij7as1_banner.xml
- /data/data/####/SDK20161013100703to5zjumw4xbyc78_banner.xml
- /data/data/####/SDK20161013100703yqaz6gya1xo8fb3_banner.xml
- /data/data/####/SDK20161013100703z3xczru96oq4nfy_banner.xml
- /data/data/####/SDK20161013100737drh4tocgjuusnnp_banner.xml
- /data/data/####/SDK20161013100746lwu5871wcch5eqi_banner.xml
- /data/data/####/SDK20161027100820q6vsh51ee71n9e8_banner.xml
- /data/data/####/SDK20161027100825xnrj3t8l3negnp3_banner.xml
- /data/data/####/SDK20161407020953pr2l8zr3gs3wjl4_banner.xml
- /data/data/####/SDK201615080307224rbm2nquflv7fl0_banner.xml
- /data/data/####/SDK20161508030751l23ywtmdo9k9a5f_banner.xml
- /data/data/####/SDK20161608040741l9qg2l2cqeupel8_banner.xml
- /data/data/####/SDK20161610041130z48j828av1hnqux_banner.xml
- /data/data/####/SDK20161712050806ltlrp4wqncnbkff_banner.xml
- /data/data/####/SDK20161712050807mq2nks5kod18cm7_banner.xml
- /data/data/####/SDK20161712050808dpk1c09khid2sp7_banner.xml
- /data/data/####/SDK20161712050822fao5rdbuq9bftvu_banner.xml
- /data/data/####/SDK201617120508244frx4fi7j63kodj_banner.xml
- /data/data/####/SDK20161712050826pn6knv49bq8053p_banner.xml
- /data/data/####/SDK201617120508286j0fznikeuz4bhp_banner.xml
- /data/data/####/SDK2016171205083456tjqmg7j3y7czj_banner.xml
- /data/data/####/SDK20161712050838jlsocck9xkc5yc1_banner.xml
- /data/data/####/SDK20161712050846vkicj804nawabyg_banner.xml
- /data/data/####/SDK20161712050847nf5cki23qtf3mfe_banner.xml
- /data/data/####/SDK20161712050851f6n96nuj6086hgh_banner.xml
- /data/data/####/SDK20161712050852kbt7dv9lblafbpj_banner.xml
- /data/data/####/SDK20161712050855m5eo1ky3bxufq5o_banner.xml
- /data/data/####/SDK20161712050855ov16q90gp2td54r_banner.xml
- /data/data/####/SDK20161712050958hs36830qn7qkhe8_banner.xml
- /data/data/####/SDK201617270508580ggo2iwgwd0tkpr_spread.xml
- /data/data/####/TDCloudSettingsConfig1DBDB6A25FFC9CD1830696E848D0F9BD.xml
- /data/data/####/TD_app_pefercen_profile.xml
- /data/data/####/TDpref_longtime.xml
- /data/data/####/TDpref_shorttime.xml
- /data/data/####/TDtcagent.db
- /data/data/####/TDtcagent.db-journal
- /data/data/####/com.yongloveru.hjw_preferences.xml
- /data/data/####/exchangeIdentity.json
- /data/data/####/libjiagu.so
- /data/data/####/mpush_app.db-journal
- /data/data/####/mpush_gateway_preferences_file
- /data/data/####/mpush_version_preferences_file
- /data/data/####/pri_tencent_analysis.db-journal
- /data/data/####/td.lock
- /data/data/####/tdid.xml
- /data/data/####/tdlock.txt
- /data/data/####/tencent_analysis.db
- /data/data/####/tencent_analysis.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/yongloveru.xml
- /data/media/####/.mid.txt
- /data/media/####/.tcookieid
- /data/media/####/sign1.txt
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
Загружает динамические библиотеки:
- MtaNativeCrash
- libjiagu
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS7Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS7Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Отрисовывает собственные окна поверх других приложений.
