Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Xiny.54.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) ad.lanji####.com:80
- TCP(HTTP/1.1) a####.u####.com.####.com:80
- TCP(HTTP/1.1) d.68n####.com:80
- TCP(HTTP/1.1) www.a.sh####.com:80
- TCP(HTTP/1.1) ssl.a####.com.####.net:80
Запросы DNS:
- a####.u####.com
- ad.lanji####.com
- airdown####.a####.com
- api.j####.360.cn
- cg.e####.mobi
- d.68n####.com
- mobi####.a####.com
- se####.yic####.com
Запросы HTTP GET:
- d.68n####.com/download//jarFile/SDKAutoUpdate/test200617.tar.gz
- ssl.a####.com.####.net/air?version=####&appid=####&runtimeType=####&os=#...
Запросы HTTP POST:
- a####.u####.com.####.com/app_logs
- ad.lanji####.com/lanjingke/interface.action?advertModule=####
- www.a.sh####.com/yichuadserver/cp.action?requestId=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/L_Key.xml
- /data/data/####/application.xml
- /data/data/####/c.jar
- /data/data/####/com.dbd.mjgz.AIRSharedPref.xml
- /data/data/####/com.dbd.mjgz_preferences.xml
- /data/data/####/curl-ca-bundle.crt
- /data/data/####/eca.db-journal
- /data/data/####/ecd.db-journal
- /data/data/####/eck.xml
- /data/data/####/hengping.swf
- /data/data/####/installTime.xml
- /data/data/####/javaTrustStore.tmp
- /data/data/####/jiagu.lock
- /data/data/####/ki.xml
- /data/data/####/libjiagu.so
- /data/data/####/libjiagu_art.so
- /data/data/####/ljk_c.xml
- /data/data/####/ljkc_jar_root.xml
- /data/data/####/ljkc_jar_version.xml
- /data/data/####/n
- /data/data/####/temp.jar
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/vgp_id.xml
- /data/data/####/yc_cp_states.xml
- /data/data/####/yc_cpdownloads
- /data/data/####/yc_cpdownloads-journal
- /data/media/####/IM.DAT
- /data/media/####/jar_dex.tar.gz
- /data/media/####/test.jar
- /data/media/####/time.dat
- /data/media/####/u.dat
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /proc/cpuinfo
- /system/bin/cat /proc/meminfo
- /system/bin/cat /sys/devices/system/cpu/present
- chmod 755 <Package Folder>/files/libjiagu_art.so
Загружает динамические библиотеки:
- libCore
- libjiagu
- libstlport_shared
- n
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
