Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Dowgin.3.origin
- Android.DownLoader.343.origin
- Android.DownLoader.723
- Android.DownLoader.725
- Android.Packed.4861
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/21F3F87DB97E5D26.xml
- /data/data/####/2DBAADD0B9ACD37B.xml
- /data/data/####/78F595C4D200087B.xml
- /data/data/####/7AB6415448552D84.xml
- /data/data/####/B58050C27928141889B2F8696582AB6F.xml
- /data/data/####/C14DAA89B184F741784CCB94F6F286E0.xml
- /data/data/####/DAACEEAE-journal
- /data/data/####/EDBBBEDB
- /data/data/####/EDBBBEDB-journal
- /data/data/####/EFE5881FE9610560-journal
- /data/data/####/__pasys_remote_banner.tmp.jar
- /data/data/####/com.lkfeoisw.znchew.jar
- /data/data/####/jg_app_update_settings_random.xml
- /data/data/####/libjiagu.so
- /data/data/####/zwaikj.t
- /data/media/####/10E6E48982DDB69D
- /data/media/####/12BFD2BE0D23CCBCBA7A54CC46FCC432
- /data/media/####/13AB4A70CF5F681E3F54BDC2349CF747132572793E2B87C4
- /data/media/####/2294347178140F33BEC9FF6A39F3287F
- /data/media/####/260EF8F22C639999F0B4FD0B8D5E8E1EDFA149F6F43C8B86
- /data/media/####/2AC2144CFF272016FAB7CC2A4B6A83E4
- /data/media/####/355298B21AD7ECF9886EF7F08AF49FD5
- /data/media/####/3D3C7E2163C56992132572793E2B87C4
- /data/media/####/476E6628FB1497903EFC48CF426F4EF6
- /data/media/####/47E7A1EE5BCFA0E11CF4881E27EF7E3A
- /data/media/####/47E7A1EE5BCFA0E1E3BCE66E7E9E9640
- /data/media/####/6D01E20F62E4938C526EB4F9B86D33177421F26A69A7255B
- /data/media/####/6D01E20F62E4938C67621A575834CE1ABEC9FF6A39F3287F
- /data/media/####/7F469F6AE46853E1613E54475B08BA45132572793E2B87C4
- /data/media/####/806FD4BD94F890E2BA7A54CC46FCC432
- /data/media/####/84ADAC63D02FBAE32285D1CE1B83B54F
- /data/media/####/9131AF59E2C5B749132572793E2B87C4
- /data/media/####/97C49BDDE3A58E8A8EB0F2BAC667A39D132572793E2B87C4
- /data/media/####/97C49BDDE3A58E8AF1EB8AE02A8F8C74A87781D1E5FAD8...6A83E4
- /data/media/####/98BF64934798C1C2FD6DB431C9BB60E1FAB7CC2A4B6A83E4
- /data/media/####/99DDD026885CEEAABA7A54CC46FCC432
- /data/media/####/A6536320AFFBADD55E2E60A0B873E23EFAB7CC2A4B6A83E4
- /data/media/####/BC49AD6D152F37279E535666D3DD92ED1CF4881E27EF7E3A
- /data/media/####/CCC8F108E8F550B9E04E26A6421DF2E5BEC9FF6A39F3287F
- /data/media/####/D50B72E07C8E0EDD2E990DC759B36FBB
- /data/media/####/E608B85F47F47484795FE81AA31087FEDFA149F6F43C8B86
- /data/media/####/E77D67774BDFB07F
- /data/media/####/EFA83462E77CF0D9DFA149F6F43C8B86
- /data/media/####/XH.txt
- /data/media/####/__pasys_remote_banner.jar
- /data/media/####/ouvesantvghywhaqntuprdjrwl.zip
- /data/media/####/ulgep
- /data/media/####/ulgep.zip
- /data/media/####/umgep
- /data/media/####/umgep.zip
- /data/media/####/uygep
- /data/media/####/uygep.zip
- /data/media/####/xwrsdamvkjjzygkcxnp.zip
- /data/media/####/zwaikj
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/zwaikj -p <Package> -r am start --user 0 -n <Package>/ytdu.tx.wsfmgu -a daemon -h http://127.0.0.1:7123/report/allData -i 2180
- chmod 777 <Package Folder>/zwaikj
- sh <Package Folder>/zwaikj -p <Package> -r am start --user 0 -n <Package>/ytdu.tx.wsfmgu -a daemon -h http://127.0.0.1:7123/report/allData -i 2180
Загружает динамические библиотеки:
- libjiagu
Использует следующие алгоритмы для шифрования данных:
- DES
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- DES
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о телефоне (номер, IMEI и т. д.).
Отрисовывает собственные окна поверх других приложений.
