Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.RemoteCode.86.origin
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(HTTP/1.1) api.mob####.mob.com:80
- TCP(HTTP/1.1) 2####.107.1.65:80
- TCP(HTTP/1.1) norma-e####.m####.com:80
- TCP(HTTP/1.1) api.wos####.com:80
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(HTTP/1.1) amdc####.m.ta####.com:80
- TCP(HTTP/1.1) wos####.b0.a####.com:80
- TCP(HTTP/1.1) a####.fc.mob.com:80
- TCP(HTTP/1.1) hotfix####.aliy####.com:80
- TCP(TLS/1.0) api.wos####.com:443
- TCP(TLS/1.0) instant####.google####.com:443
- TCP(TLS/1.0) digital####.google####.com:443
- TCP(TLS/1.0) gd-s####.j####.cn:443
- TCP(TLS/1.0) 2####.58.208.106:443
- TCP(TLS/1.0) 2####.107.1.100:443
- TCP(TLS/1.0) aliyun-####.al####.com:443
- TCP(TLS/1.0) and####.google####.com:443
- TCP(TLS/1.0) dualsta####.wagbr####.ali####.####.com:443
- TCP(TLS/1.0) p####.google####.com:443
- TCP(TLS/1.0) api.mob####.mob.com:443
- TCP(TLS/1.0) ce3e####.j####.cn:443
- TCP(TLS/1.0) idu####.qini####.com:443
- TCP(TLS/1.0) bj####.j####.cn:443
- TCP(TLS/1.0) t####.j####.cn:443
- TCP(TLS/1.0) hotfix####.aliy####.com:443
- TCP(TLS/1.0) p-fas####.j####.cn:443
- TCP(TLS/1.0) y####.b0.a####.com:443
- TCP(TLS/1.0) al####.u####.com:443
- TCP(TLS/1.0) ap####.uc.cn:443
- TCP(TLS/1.0) wos####.b0.a####.com:443
- TCP(TLS/1.0) 2####.58.211.106:443
- TCP(TLS/1.0) ali-s####.j####.cn:443
- TCP(TLS/1.2) 1####.250.179.206:443
- TCP(TLS/1.2) 1####.250.179.163:443
- TCP(TLS/1.2) 2####.58.208.106:443
- UDP easytom####.com:19000
- TCP zb-cent####.m.ta####.com:443
- TCP 1####.230.236.53:7002
Запросы DNS:
- a####.fc.mob.com
- a####.man.aliy####.com
- acc####.m.ta####.com
- ali-s####.j####.cn
- amdc####.m.ta####.com
- and####.b####.qq.com
- and####.google####.com
- ap####.uc.cn
- api.mob####.mob.com
- api.s####.mob.com
- api.wos####.com
- beacon####.aliy####.com
- bj####.j####.cn
- ce3e####.j####.cn
- digital####.google####.com
- easytom####.com
- gd-s####.j####.cn
- hotfix####.aliy####.com
- i####.wos####.com
- i####.yunyin####.com
- instant####.google####.com
- m####.go####.com
- mpush####.al####.com
- norma-e####.m####.com
- p####.google####.com
- p-fas####.j####.cn
- plb####.u####.com
- s.j####.cn
- sis.j####.io
- st####.qidi####.com
- st####.wos####.com
- t####.j####.cn
- u####.u####.com
- umen####.m.ta####.com
- wen.wos####.com
Запросы HTTP GET:
- a####.fc.mob.com/privacy/policy/ms/version?appkey=####&apppkg=####&appve...
- a####.fc.mob.com/privacy/policy?type=####&appkey=####&apppkg=####&ppVers...
- api.wos####.com/author/V4/recommendList.html?PS=####&PN=####&_cT=####&_c...
- api.wos####.com/config/activeV4.html?_cS=####&_cT=####&_cV=####&_cP=####...
- api.wos####.com/config/menu/topics.html?_cT=####&_cV=####&_cP=####&_cA=#...
- api.wos####.com/config/popV4.html?_cT=####&_cV=####&_cP=####&_cA=####
- api.wos####.com/config/tips.html?_cT=####&_cV=####&_cP=####&_cA=####
- api.wos####.com/news/v4/activeList.html?PS=####&type=####&key=####<ime...
- api.wos####.com/news/v4/index/timeline.html?PN=####&PS=####<ime=####&_...
- api.wos####.com/recommend/indexV4.html?_cS=####&_cT=####&_cV=####&_cP=##...
- api.wos####.com/recommend/liveVideo.html?_cT=####&_cV=####&_cP=####&_cA=...
- api.wos####.com/user/userAppTags.html?_cT=####&_cV=####&_cP=####&_cA=####
- norma-e####.m####.com/android/exchange/getpublickey.do
- wos####.b0.a####.com/wp-files/2020/12/EZI0LC6e9N9xRcIZn37h.jpg!/both/690...
- wos####.b0.a####.com/wp-files/2021/02/nWWrXxBfBP0B4BWu0pyX.jpg!/both/690...
Запросы HTTP POST:
- amdc####.m.ta####.com/amdc/mobileDispatch?appkey=####&deviceId=####&plat...
- and####.b####.qq.com/rqd/async?aid=####
- api.mob####.mob.com/conf
- hotfix####.aliy####.com/beacon/fetch/config/byappkey
- norma-e####.m####.com/push/android/external/add.do
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.6838c58d1695833d1f37ce908e16f206
- /data/data/####/.artc_lock
- /data/data/####/.at_lock
- /data/data/####/.cl
- /data/data/####/.dic_lock
- /data/data/####/.du_lock
- /data/data/####/.duid
- /data/data/####/.dvcv_lock
- /data/data/####/.extConfig.xml
- /data/data/####/.globalLock
- /data/data/####/.im_lock
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/.jgck
- /data/data/####/.lesd_lock
- /data/data/####/.lock
- /data/data/####/.mrecord
- /data/data/####/.mrecord (deleted)
- /data/data/####/.mrlock
- /data/data/####/.pkg_lock
- /data/data/####/.pkgs_lock
- /data/data/####/.slw
- /data/data/####/.statistics
- /data/data/####/.vpl_lock
- /data/data/####/08db20c780e6de89928a7cab49021cd2aacfab02447c9f2....0.tmp
- /data/data/####/0b4f9328c0e1387b78b5424ac1c7b7d1287d612888da8d6....0.tmp
- /data/data/####/0d13e2726b9000ce046fea9210c0f85d7656f7d2d6dc483....0.tmp
- /data/data/####/0e43940e1daaa7e0fa7a7595f6ca22849a33098584e5581....0.tmp
- /data/data/####/1004
- /data/data/####/16eb954153aae3e1201346099ccb13c1.0.tmp
- /data/data/####/16eb954153aae3e1201346099ccb13c1.1.tmp
- /data/data/####/18710e4bc760c04097dada5a80da521d.0.tmp
- /data/data/####/18710e4bc760c04097dada5a80da521d.1.tmp
- /data/data/####/190c0d65-dd39-4c2e-b8c9-c59b7b73ada9
- /data/data/####/1d013351-5931-40a6-bb74-120242b8d08f
- /data/data/####/22715078-e47c-4f0e-a096-93a260c4c80d
- /data/data/####/24a617c15faca632913c8004b035b47f.0.tmp
- /data/data/####/24a617c15faca632913c8004b035b47f.1.tmp
- /data/data/####/3232c6ba0cb73032753157ca94f2f561.0.tmp
- /data/data/####/3232c6ba0cb73032753157ca94f2f561.1
- /data/data/####/3349812bb7178db7f47e8aea71f4fd860a6a289272a98c7....0.tmp
- /data/data/####/39e6932ceb097756e24f14e247b67ca184984365df7c25a....0.tmp
- /data/data/####/40d633becf5a5d2e8bb4d20723bc186bd867602a71feac4...074f.0
- /data/data/####/4bf10064344d5f19349afcb88d517866cfb7fc1dfe56a46....0.tmp
- /data/data/####/507e5395-120f-4d5a-bbf3-6a83e412b779
- /data/data/####/5626b628df03812ec98b71b26e8fac3c71171a6f07f5928....0.tmp
- /data/data/####/58459fb92ad43eb2a87afbd142845be1.0.tmp
- /data/data/####/58459fb92ad43eb2a87afbd142845be1.1.tmp
- /data/data/####/5b925d823a744641e6e6fbcfdda88e73.0.tmp
- /data/data/####/5b925d823a744641e6e6fbcfdda88e73.1.tmp
- /data/data/####/68f750cf31cdba322263ca32ee8632b6.0.tmp
- /data/data/####/68f750cf31cdba322263ca32ee8632b6.1
- /data/data/####/6df9166be5cd1037ad741d8b499b669e.0.tmp
- /data/data/####/6df9166be5cd1037ad741d8b499b669e.1.tmp
- /data/data/####/71d249d9d00e0a3f336268f329f37194.0.tmp
- /data/data/####/71d249d9d00e0a3f336268f329f37194.1
- /data/data/####/7247cf2aa731a670ffeb64bfe5af7e94309eea7e43285a2....0.tmp
- /data/data/####/7b4461745158f1124d376607f007c01eb5808bb4ad3da3b....0.tmp
- /data/data/####/7d5cc53acd2a738d31b95b67cb9db3561da8554fdfb442e...52c5.0
- /data/data/####/7da06b7ada123d74497a03b868460f66588e730755844ff....0.tmp
- /data/data/####/8195a11f-d9d8-4bb8-bd35-6dfc77fa9f80
- /data/data/####/8225b8684420a3d35dc14258259ddfbbe810b0aa499051b....0.tmp
- /data/data/####/8c2f84ee6ac7bf8f48f91f9175b882306f073b8489b1ea2....0.tmp
- /data/data/####/90ca5708fbf0f23646c2136d8e455c49d2f27e584dbd0d4....0.tmp
- /data/data/####/91f78e755ac13f15c6e65d8f4db85b18782207ba3473660...b379.0
- /data/data/####/963a6ab5b684c7625985b36ae457f0f71364bead9777d6f....0.tmp
- /data/data/####/985db7ed4032b3eaf13937d436af6851.0.tmp
- /data/data/####/985db7ed4032b3eaf13937d436af6851.1.tmp
- /data/data/####/9983c160aa044115
- /data/data/####/9a45f637c23105a2a701b6dfd5865e67.0
- /data/data/####/9a45f637c23105a2a701b6dfd5865e67.1
- /data/data/####/ACCS_BINDdefault.xml
- /data/data/####/ACCS_SDK.xml
- /data/data/####/ACCS_SDK_CHANNEL.xml
- /data/data/####/AGOO_BIND.xml
- /data/data/####/Agoo_AppStore.xml
- /data/data/####/Alvin2.xml
- /data/data/####/IpInfos.xml
- /data/data/####/MOBGUARD_100
- /data/data/####/MOBLINK_1
- /data/data/####/MessageStore.db-journal
- /data/data/####/MsgLogStore.db-journal
- /data/data/####/PmPush.xml
- /data/data/####/ResumeActHelper.xml
- /data/data/####/SP_AROUTER_CACHE.xml
- /data/data/####/SWEN0MPIHSOW0MOC.st
- /data/data/####/ThrowalbeLog.db-journal
- /data/data/####/UM_PROBE_DATA.xml
- /data/data/####/UTCommon.xml
- /data/data/####/a325712a39bd320a
- /data/data/####/a491f47b069ff6afd4681c12ce390415.0.tmp
- /data/data/####/a491f47b069ff6afd4681c12ce390415.1.tmp
- /data/data/####/a62e41bdc0a04c590f71881d4b423a527fb5a077d9d2996...8185.0
- /data/data/####/a==9.1.6&&4.4.0_1613428389299_envelope.log
- /data/data/####/accs.db-journal
- /data/data/####/ae275384fa4efb9d4d45c617bc15bbe0.0.tmp
- /data/data/####/ae275384fa4efb9d4d45c617bc15bbe0.1
- /data/data/####/afdc42fa1d93d262118dd8e686c98c67b7417ce5be231cb....0.tmp
- /data/data/####/agoo.pid
- /data/data/####/ap.Lock
- /data/data/####/b17b57023bb59fabf7f56a6872c5d21690553d664edd77f....0.tmp
- /data/data/####/b56be974f52df8796ca36aac42dafe0d70bacdd5b9271e9....0.tmp
- /data/data/####/b88038b38aecdf00b1ad362ee3bce53fcae695f716ce553....0.tmp
- /data/data/####/bal.catch
- /data/data/####/ban.catch
- /data/data/####/bba1c9d218a181a64f2ee1c4add0e99fbc2313c06ad7f75....0.tmp
- /data/data/####/beef36ec688212dacdb85dc84bbbb3ea9b7229edc5b3628....0.tmp
- /data/data/####/bugly_db_-journal
- /data/data/####/bwc.catch
- /data/data/####/ca193cac-ee33-4d63-9b63-d5e8f2ee4af4
- /data/data/####/cdt.wa
- /data/data/####/classes.dex
- /data/data/####/classes.dex;classes2.dex
- /data/data/####/classes.dex;classes3.dex
- /data/data/####/classes.dex;classes4.dex
- /data/data/####/classes.dex;classes5.dex
- /data/data/####/classes.oat
- /data/data/####/cn.jiguang.common.xml
- /data/data/####/cn.jiguang.common.xml.bak
- /data/data/####/cn.jiguang.prefs.xml
- /data/data/####/cn.jiguang.prefs.xml.bak
- /data/data/####/cn.jiguang.sdk.address.xml
- /data/data/####/cn.jiguang.sdk.report.xml
- /data/data/####/cn.jiguang.sdk.user.profile.xml
- /data/data/####/cn.jiguang.sdk.user.profile.xml.bak
- /data/data/####/cn.jpush.android.user.profile.xml
- /data/data/####/cn.jpush.config.xml
- /data/data/####/cn.jpush.config.xml.bak
- /data/data/####/cn.jpush.preferences.v2.rid.xml
- /data/data/####/cn.jpush.preferences.v2.xml
- /data/data/####/cn.jpush.preferences.v2.xml.bak
- /data/data/####/com.woshipm.news.xml
- /data/data/####/com.woshipm.news.xml.bak
- /data/data/####/com.x.y.1.xml
- /data/data/####/com.x.y.2.xml
- /data/data/####/com_alibaba_aliyun_crash_defend_sdk_info
- /data/data/####/core_info
- /data/data/####/cr.wa
- /data/data/####/crashrecord.xml
- /data/data/####/d00dfa941b6b4869a1b79b516e08d9e1
- /data/data/####/d15cf2f2-9bbb-455b-9fb2-133759718dd6
- /data/data/####/dW1weF9wdXNoX2xhdW5jaF8xNjEzNDI4MzkwMzQ5;
- /data/data/####/dW1weF9wdXNoX3JlZ2lzdGVyXzE2MTM0MjgzODAyMDg=;
- /data/data/####/db22a1db5b7c6d5bde3c5000644c929d6eac03a5adb6c92....0.tmp
- /data/data/####/delayed_transmission_flag_new.xml
- /data/data/####/download_upload
- /data/data/####/dt.wa
- /data/data/####/e1b28d99835fc983891f95a250136c09.0.tmp
- /data/data/####/e1b28d99835fc983891f95a250136c09.1.tmp
- /data/data/####/e1d061aae62081186329bcdc2ab4f1bc.0.tmp
- /data/data/####/e1d061aae62081186329bcdc2ab4f1bc.1
- /data/data/####/e3aace20a8234631907fc30142242d009f45c7c301edcdc...ba47.0
- /data/data/####/e3f0f775ab14243ef42454fcb651a5a55208b2bc6d682e8....0.tmp
- /data/data/####/ea1cb3b196f9e1665972ae9773dbbdaf40d94e3692113d3....0.tmp
- /data/data/####/ea8b8a45-e58c-4757-ae6a-f29a90b57e5f
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/f8dd2798f5131042053a418a528a569b1f4c982ecb2ee71....0.tmp
- /data/data/####/faf447a8dfbaf222255bb16112b1027c.0.tmp
- /data/data/####/faf447a8dfbaf222255bb16112b1027c.1.tmp
- /data/data/####/httpdns_config_cache.xml
- /data/data/####/httpdns_config_enable.xml
- /data/data/####/i==1.2.0&&4.4.0_1613428380236_envelope.log
- /data/data/####/info.xml
- /data/data/####/journal
- /data/data/####/journal.bkp
- /data/data/####/journal.tmp
- /data/data/####/libjiagu.so
- /data/data/####/local_crash_lock
- /data/data/####/message_accs_db
- /data/data/####/message_accs_db-journal
- /data/data/####/mob_commons_1
- /data/data/####/msg_queue_v350
- /data/data/####/mz_push_preference.xml
- /data/data/####/native_record_lock (deleted)
- /data/data/####/proc_auxv
- /data/data/####/rl.catch (deleted)
- /data/data/####/security_info
- /data/data/####/share_sdk_1
- /data/data/####/sp_sophix.xml
- /data/data/####/sp_sophix.xml.bak
- /data/data/####/sp_sophix.xml.bak (deleted)
- /data/data/####/t==9.1.6&&4.4.0_1613428382775_envelope.log
- /data/data/####/tbs_download_config.xml
- /data/data/####/tbs_download_config.xml.bak
- /data/data/####/tbs_download_stat.xml
- /data/data/####/tbs_pv_config
- /data/data/####/tbscoreinstall.txt
- /data/data/####/tbslock.txt
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/um_pri.xml
- /data/data/####/um_session_id.xml
- /data/data/####/umeng_common_config.xml
- /data/data/####/umeng_common_location.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/umeng_it_sl.cache
- /data/data/####/umeng_message_state.xml
- /data/data/####/umeng_sp_oaid.xml
- /data/data/####/umeng_sp_zdata.xml
- /data/data/####/umeng_zcfg_flag
- /data/data/####/umeng_zero_cache.db
- /data/data/####/umeng_zero_cache.db-journal
- /data/data/####/unique
- /data/data/####/ut.db-journal
- /data/data/####/ver
- /data/data/####/woshipm.db-journal
- /data/data/####/z==1.2.0&&4.4.0_1613428368852_envelope.log
- /data/misc/####/primary.prof
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
- /system/bin/dex2oat --instruction-set=x86 --dex-file=<Package Folder>/.jiagu/classes.dex --dex-file=<Package Folder>/.jiagu/classes.dex:classes2.dex --dex-file=<Package Folder>/.jiagu/classes.dex:classes3.dex --dex-file=<Package Folder>/.jiagu/classes.dex:classes4.dex --dex-file=<Package Folder>/.jiagu/classes.dex:classes5.dex --oat-file=<Package Folder>/.jiagu/classes.oat --inline-depth-limit=0 --compiler-filter=speed
- cat /sys/class/net/wlan0/address
- getprop
- getprop ro.build.version.emui
- getprop ro.build.version.opporom
- getprop ro.miui.ui.version.name
- getprop ro.product.cpu.abi
- getprop ro.smartisan.version
- getprop ro.vivo.os.version
- logcat -d time -s tag:W
- ls /
- ls /sys/class/thermal
- ps
- sh -c type su
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS7Padding
- AES-GCM-NoPadding
- RSA-ECB-NoPadding
- RSA-ECB-OAEPWithSHA256AndMGF1Padding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-GCM-NoPadding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
