Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Spy.694.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) apponet####.b0.a####.com:80
- TCP(HTTP/1.1) b####.img.ire####.com:80
- TCP(HTTP/1.1) l####.tbs.qq.com:80
- TCP(HTTP/1.1) pic.if####.com.####.com:80
- TCP(HTTP/1.1) ima####.x####.com:80
- TCP(HTTP/1.1) res.if####.com.####.com:80
- TCP(HTTP/1.1) t####.91.com.####.com:80
- TCP(HTTP/1.1) s####.if####.com:80
- TCP(HTTP/1.1) f####.x####.com:80
- TCP(HTTP/1.1) panda####.if####.com.####.com:80
- TCP(TLS/1.0) api.tui####.b####.com:443
- TCP(TLS/1.0) gd.a.s####.com:443
- TCP sa.tui####.b####.com:5287
Запросы DNS:
- ad.if####.com
- ap####.if####.com
- api.k.s####.com
- api.tui####.b####.com
- app.onetwo####.top
- b####.img.ire####.com
- bbx.pand####.com
- f####.x####.com
- ima####.x####.com
- l####.tbs.qq.com
- panda####.if####.com
- pic.if####.com
- res.if####.com
- s####.if####.com
- sa.tui####.b####.com
- statson####.pu####.b####.com
- t####.91.com
Запросы HTTP GET:
- apponet####.b0.a####.com/swenjian/ac
- b####.img.ire####.com/idc_1/m_1,w_200,h_266/845e3589/group61/M00/DE/35/C...
- b####.img.ire####.com/idc_1/m_1,w_200,h_266/adc48b64/group61/M00/8B/37/C...
- b####.img.ire####.com/idc_1/m_1,w_200,h_266/b1681cc3/group61/M00/45/C9/C...
- f####.x####.com/group32/M06/E1/2F/wKgJUFn8SgqBh8NcAAGCwQ7gnR8923_web_lar...
- f####.x####.com/group42/M08/51/41/wKgJ81rZ_aqD9nhnAAVneaIn20Q533_web_lar...
- f####.x####.com/group42/M0B/55/12/wKgJ9FrZ9raiTFMQAALNAi_5lX8888_web_lar...
- f####.x####.com/group7/M07/24/E7/wKgDX1bqSHqRgQP-AAGMkU_hutg462_web_larg...
- ima####.x####.com/group50/M09/08/8F/wKgKmVv4AWygYrTGAAI0UdgqZcY725.jpg!o...
- ima####.x####.com/group51/M08/E0/1E/wKgKmlv2VYqDeaHNABaanI2d2JQ549.jpg!o...
- ima####.x####.com/group67/M0B/BF/51/wKgMd12zDkLC1aTLAAQSvL00WbA696.jpg!o...
- panda####.if####.com.####.com/Pic.ashx/RedirectPaster?tiezhiid=####&proj...
- panda####.if####.com.####.com/commonuse/clientconfig.ashx?cname=####&ver...
- pic.if####.com.####.com/Theme.ashx/BDHotKeyv3?mt=####&pid=####&tfv=####&...
- pic.if####.com.####.com/commonuse/clientconfig.ashx?cname=####&ver=####
- pic.if####.com.####.com/commonuse/clientconfig.ashx?cname=####&ver=####&...
- pic.if####.com.####.com/rbpiczy/commonpics/2015/8/20/e9185c70092448d59c6...
- pic.if####.com.####.com/rbpiczy/tiezhi/2016/07/19/705c0c11d4e84802910a06...
- pic.if####.com.####.com/rbpiczy/tiezhi/2016/08/08/1f9b24c4759d4c5caacb8c...
- pic.if####.com.####.com/rbpiczy/tiezhi/2016/08/08/6c1df2cfc18649dcbb2872...
- pic.if####.com.####.com/rbpiczy/tiezhi/2016/08/16/399c10f44eb146b4a890c1...
- pic.if####.com.####.com/rbpiczy/tiezhi/2016/08/16/a47e90e256c641a6ba35ae...
- pic.if####.com.####.com/rbpiczy/tiezhi/2016/08/29/74a5433fa8cf4c3f9a67d2...
- pic.if####.com.####.com/rbpiczy/tiezhi/2016/08/29/b4757159b1254bdc9a63e5...
- pic.if####.com.####.com/rbpiczy/tiezhi/2016/09/05/43c43cb7cc7e423595ec6c...
- pic.if####.com.####.com/rbpiczy/tiezhi/2016/10/11/0047041e7c0e4be590b9ee...
- pic.if####.com.####.com/rbpiczy/tiezhi/2016/12/05/26ab90b42582484f9a5eb3...
- res.if####.com.####.com/commonuse/clientconfig.ashx?cname=####&ver=####
- res.if####.com.####.com/commonuse/clientconfig.ashx?cname=####&ver=####&...
- res.if####.com.####.com/rbreszy/theme/tpbapp/2019/11/08/265b9c5a75be4bc3...
- t####.91.com.####.com/rbpiczy/commonpics/2015/6/9/27863622f83e4e6d92225e...
Запросы HTTP POST:
- l####.tbs.qq.com/ajax?c=####&k=####
- panda####.if####.com.####.com/action.ashx/otheraction/9055
- panda####.if####.com.####.com/action.ashx/wallpaperaction/7050
- pic.if####.com.####.com/action.ashx/OtherAction/9058
- pic.if####.com.####.com/action.ashx/OtherAction/9059
- pic.if####.com.####.com/action.ashx/otheraction/9060
- res.if####.com.####.com/action.ashx/commonaction/5
- res.if####.com.####.com/action.ashx/distributeaction/5016
- s####.if####.com/action.ashx/otheraction/9004
- s####.if####.com/action/commonaction/11
- s####.if####.com/action/commonaction/5
- s####.if####.com/action/commonaction/7
- s####.if####.com/api2.ashx
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/.lock
- /data/data/####/91Analytics_Config.xml
- /data/data/####/91analytics_v4.db
- /data/data/####/91analytics_v4.db-journal
- /data/data/####/BrsService.jar
- /data/data/####/BrsService.xml
- /data/data/####/PaidContentBest
- /data/data/####/PaidContentBest-journal
- /data/data/####/PaidContentHome
- /data/data/####/PaidContentHome-journal
- /data/data/####/PersistedMapTagLastSeenMap.xml
- /data/data/####/PersistedSetToDoSet.xml
- /data/data/####/SHPluginPref.xml
- /data/data/####/SP_ShareData.xml
- /data/data/####/UmActivity.xml
- /data/data/####/adsdk.xml
- /data/data/####/app.db-journal
- /data/data/####/app_distribute_sp.xml
- /data/data/####/channel.ini
- /data/data/####/com.baidu.pushservice.BIND_CACHE.xml
- /data/data/####/com.df.dsfs.fsdf.push_sync.xml
- /data/data/####/com.df.dsfs.fsdf.self_push_sync.xml
- /data/data/####/com.nd.hilauncherdev.plugin.navigation.jar
- /data/data/####/com.sohu.plugin.download.db-journal
- /data/data/####/config.db-journal
- /data/data/####/configsp.xml
- /data/data/####/core_info
- /data/data/####/expsp.xml
- /data/data/####/launcher.db-journal
- /data/data/####/libcuid.so
- /data/data/####/libjiagu.so
- /data/data/####/mode_db-journal
- /data/data/####/multidex.version.xml
- /data/data/####/mybattery_set.xml
- /data/data/####/mycleaner_sp.xml
- /data/data/####/navigation_config_sp.xml
- /data/data/####/panda_theme_config.xml
- /data/data/####/plugin_upgrade_new.json
- /data/data/####/pst.xml
- /data/data/####/pushclient.xml
- /data/data/####/pushinfo.db
- /data/data/####/pushinfo.db-journal
- /data/data/####/pushstat_5.7.1.db
- /data/data/####/pushstat_5.7.1.db-journal
- /data/data/####/scene.db-journal
- /data/data/####/settings.xml
- /data/data/####/shopdataprefs.xml
- /data/data/####/sohusdk_kv.xml
- /data/data/####/sp_ad_download.xml
- /data/data/####/tbs_download_stat.xml
- /data/data/####/tbslock.txt
- /data/data/####/themes.db-journal
- /data/data/####/top_menu_preference.xml
- /data/data/####/trafficmonestats_v4.db-journal
- /data/data/####/universal.xml
- /data/data/####/webview.db-journal
- /data/media/####/-17513503270.tmp
- /data/media/####/-2159793520.tmp
- /data/media/####/-2610101200.tmp
- /data/media/####/-3673679060.tmp
- /data/media/####/-9445023930.tmp
- /data/media/####/.cuid
- /data/media/####/.cuid2
- /data/media/####/13865067360.tmp
- /data/media/####/16436901820.tmp
- /data/media/####/17374510540.tmp
- /data/media/####/19447183090.tmp
- /data/media/####/2a9e0e1ba20126356eaddbc739b8cf0b_#b4d465
- /data/media/####/2ab7e23e2c42af258be58cb5833b365d_#492213
- /data/media/####/41021baad0a1b95dcfe4af3a85c0a801_#618700
- /data/media/####/45241ccc5c2bf140bc82d87c405914a9_#f49800
- /data/media/####/5600093050.tmp
- /data/media/####/6688f6b3d5c9f6809f488fda6299d871_#d86a75
- /data/media/####/719470dfc8d0684f4fa6a1773e960d7a_#b4d465
- /data/media/####/7e40296ff93e815db812d8965c565fed_#c6f274
- /data/media/####/8c6721dcd983baa43bd2c1b6d888f97b_#d86a75
- /data/media/####/997813591e002354f4394b7a9afd1d9b_#f19ec2
- /data/media/####/bookpage_recommend_data_cache
- /data/media/####/com.android.development_.Development
- /data/media/####/com.android.inputmethod.latin_.setup.SetupActivity
- /data/media/####/com.android.providers.downloads.ui_.DownloadList
- /data/media/####/com.android.quicksearchbox_.SearchActivity
- /data/media/####/com.android.speechrecorder_.SpeechRecorderActivity
- /data/media/####/com.df.dsfs.fsdf_com.nd.hilauncherdev.launcher.Launcher
- /data/media/####/com.df.dsfs.fsdf_com.nd.hilauncherdev.myphone....tivity
- /data/media/####/com.dian91.adEleven.jar
- /data/media/####/com.example.android.notepad_.NotesList
- /data/media/####/com.example.android.rssreader_.RssReader
- /data/media/####/com.google.android.gms_.common.settings.Google...tivity
- /data/media/####/com.meitu.meiyancamera_e9185c70092448d59c69aa909155d104
- /data/media/####/default_wallpaper.jpg
- /data/media/####/fc2d31f77d0e7f14f688d93f27daaae7_#f49600
- /data/media/####/journal
- /data/media/####/journal.tmp
- /data/media/####/kvsecretinfo.properties
- /data/media/####/msg20200808.log
- /data/media/####/sogou.mobile.explorer_27863622f83e4e6d92225edac265f88e
- /data/media/####/tbslog.txt
- /data/media/####/temp
- /data/media/####/uninstall_msg.xml
Другие:
Запускает следующие shell-скрипты:
- /system/bin/panda_super_shell com.nd.android.launcher.permission.SUPER_SHELL
- /system/bin/sh
- app_process /data/app com.nd.hilauncherdev.kitset.util.Daemon <Package Folder> 18 http://pandahome.ifjing.com/pages/unloadv8?mt=4&pid=6&cuid=0309C6014961077340AAF52A7C385F60|598153950705653&productinfo=0000000000&installVersionCode=8999&uninstallVersionCode=8999&pkg=<Package> <Package Folder>/.lock 8999
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- getprop ro.miui.ui.version.code
Загружает динамические библиотеки:
- bdpush_V2_7
- image
- libjiagu
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- DES-CBC-PKCS7Padding
- DESede-CBC-PKCS7Padding
- RSA-ECB-NoPadding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Изменяет настройки громкости и вибрации.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Получает информацию об отправленых/принятых SMS.
Получает информацию о телефонных контактах.
