Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.DownLoader.2083
- Android.DownLoader.546.origin
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(HTTP/1.1) nos.net####.com:80
- TCP(HTTP/1.1) mr.da.net####.com:80
- TCP(HTTP/1.1) cgi.con####.qq.com:80
- TCP(HTTP/1.1) 2####.205.254.62:443
- TCP(HTTP/1.1) pi####.qq.com:80
- TCP(HTTP/1.1) ap####.multim####.net####.com:80
- TCP(TLS/1.0) safebro####.google####.com:443
- TCP(TLS/1.0) cgi.con####.qq.com:443
- TCP(TLS/1.0) 2####.205.254.62:443
- TCP(TLS/1.0) regi####.xm####.xi####.com:443
- TCP(TLS/1.0) 1####.194.222.139:443
- TCP(TLS/1.2) 74.1####.131.94:443
- TCP(TLS/1.2) 1####.194.222.139:443
- UDP 74.1####.131.95:443
Запросы DNS:
- ap####.multim####.net####.com
- api.lof####.net####.com
- cgi.con####.qq.com
- m####.go####.com
- mr.da.net####.com
- nos.net####.com
- pi####.qq.com
- regi####.xm####.xi####.com
- safebro####.google####.com
Запросы HTTP GET:
- 2####.205.254.62:443/qqconnectopen/openapi/policy_conf?status_os=####&st...
- ap####.multim####.net####.com/Server/getFilterTeamMaxVersion
- nos.net####.com/loftcam-photo/ASFP1006?NOSAccessKeyId=####&Expires=####&...
- nos.net####.com/loftcam-photo/ASFP1007?NOSAccessKeyId=####&Expires=####&...
- nos.net####.com/loftcam-photo/ASFP1008?NOSAccessKeyId=####&Expires=####&...
- nos.net####.com/loftcam-photo/ASFP1009?NOSAccessKeyId=####&Expires=####&...
- nos.net####.com/loftcam-photo/ASH1006?NOSAccessKeyId=####&Expires=####&S...
- nos.net####.com/loftcam-photo/ASH1007?NOSAccessKeyId=####&Expires=####&S...
- nos.net####.com/loftcam-photo/ASH1008?NOSAccessKeyId=####&Expires=####&S...
- nos.net####.com/loftcam-photo/ASH1009?NOSAccessKeyId=####&Expires=####&S...
Запросы HTTP POST:
- ap####.multim####.net####.com/Server/FilterTeams
- ap####.multim####.net####.com/api/ad/get/1001
- ap####.multim####.net####.com/api/ad/get/1005
- ap####.multim####.net####.com/api/version/check
- mr.da.net####.com/receiver
- pi####.qq.com/mstat/report
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/.log.lock
- /data/data/####/.log.ls
- /data/data/####/06ceba57f24516c39f454590b39e8179c53fd2faed6f247....0.tmp
- /data/data/####/0f6024807d4530351e74f4006d1ce0e3554193a91b61afa....0.tmp
- /data/data/####/0fe7c050fc39ee74fb66d275ba5c95385cc2b7661b3277d....0.tmp
- /data/data/####/11e87a1c8800b913570c2b16a44f1d14f0b84b4476c59bc....0.tmp
- /data/data/####/1b43fedf27c8c778cba3c97ec2d3e5b9ee7edb001884d91....0.tmp
- /data/data/####/1b48b38aec70dab3e980604fc1054409c42ea3cefbf8071....0.tmp
- /data/data/####/1ea8cf288ce8258a55591f88d8f46ea2c63deb476404531....0.tmp
- /data/data/####/22a86c4777ee9b4e0ca5c78ce8d3e8b2b4150151a8b0a89....0.tmp
- /data/data/####/251ba0596007c3bd2e25ceb00e2101cddbbe9e1400bb04d....0.tmp
- /data/data/####/2781f9a7559449e6c47eb32981284a82712981f97975fc1....0.tmp
- /data/data/####/2a2500b199eb6d12bc0053fb992808862d1a757f45c589f....0.tmp
- /data/data/####/2f9f10ffa1d387248d58f02ba51c5be968db52e43a8da66....0.tmp
- /data/data/####/32cbc20dc66b9125b07485a889739bc1abd82de15e774db....0.tmp
- /data/data/####/3ea4246814dc15d9ffdd45c46bc0e2e36a49c40b91954a1....0.tmp
- /data/data/####/65500e2c09bb8cbaf0e78e46f84724d82f6b78685b4e50b....0.tmp
- /data/data/####/74b5e88a55be4cd41c0433ce1360e095239cc45926bb2b3....0.tmp
- /data/data/####/753a62a25dfc8d898e32849bce1dccf37ae1cf4bd9f4b19....0.tmp
- /data/data/####/79ee6dc8b23bf3bf92d704c50747293cdbd71121f4a952f....0.tmp
- /data/data/####/7d222fa4f63f3e65b33127dcda11a416ec28abb1acd8f11....0.tmp
- /data/data/####/7f381637084cfa0016cc2226a93c6a7c2c5bba221662af8....0.tmp
- /data/data/####/902f6d8b802b1abe4864f7e8ac9e1b4608389a6dc2ca4be....0.tmp
- /data/data/####/96bbfb24b36ba33ad0d43bdc06c18d7311fd5d08b190bce....0.tmp
- /data/data/####/9990a52349950f7792b146a3895da3d424f8db81e1b2221...2b1d.0
- /data/data/####/99a777d1014982c06e9f1f26b152ad702301ef92bd6d94c....0.tmp
- /data/data/####/9b213e63bd72aea61d76b3df78e24cec8594b83e7bf635d....0.tmp
- /data/data/####/9c318b7ffff0f255ae9a85e625fbff7a446d55a57758823....0.tmp
- /data/data/####/9e5189de243edb7ac70713b065f5fa795cbc6944187b6e7....0.tmp
- /data/data/####/NELoginConfig.xml
- /data/data/####/NELoginConfig.xml.bak
- /data/data/####/NEW_TAG.xml
- /data/data/####/bbc14f0f0391f8f13fde4ee75d765027154ca9ea1273107....0.tmp
- /data/data/####/classes.dex
- /data/data/####/classes2.dex
- /data/data/####/com.netease.dsloftercam.activity.dex
- /data/data/####/com.netease.dsloftercam.activity.dex.flock (deleted)
- /data/data/####/com.netease.dsloftercam.activity.odex
- /data/data/####/com.netease.dsloftercam.activity.odex.flock (deleted)
- /data/data/####/com.netease.dsloftercam.activity.zip
- /data/data/####/com.netease.dsloftercam.activity_preferences.xml
- /data/data/####/com.netease.dsloftercam.activity_preferences.xml.bak
- /data/data/####/com.tencent.open.config.json.1103463136
- /data/data/####/d58089d5549ec9ada6f1f4da57abc424835edcfd40ff6d4....0.tmp
- /data/data/####/d90d907c8e4ab68736e6c9397923950721dc435e3dee75e....0.tmp
- /data/data/####/e75310ebecc1150099b5f834027f6925eba449bbd90f132....0.tmp
- /data/data/####/ed7b9a7e972ac78086ae1c6521dd2f3a294cf4b4206320a....0.tmp
- /data/data/####/filters.db
- /data/data/####/filters.db-journal
- /data/data/####/journal.tmp
- /data/data/####/libjiagu.so
- /data/data/####/mipush.xml
- /data/data/####/mipush_extra.xml
- /data/data/####/mipush_extra.xml.bak (deleted)
- /data/data/####/mobidroid.sqlite-journal
- /data/data/####/proc_auxv
- /data/data/####/profile
- /data/data/####/tencent_analysis.db-journal
- /data/media/####/com.tencent.mobileqq_connectSdk.21.08.07.16.log
- /data/media/####/log.lock
- /data/media/####/log1.txt
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
- chmod 755 /data/user/0/<Package>/.jiagu/libjiagu.so
Использует следующие алгоритмы для шифрования данных:
- AES-ECB-PKCS5Padding
- AES-ECB-PKCS7Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-ECB-PKCS5Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
Запрашивает разрешение на отображение системных уведомлений.
