Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Mobifun.11.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(TLS/1.0) f####.only####.com:443
- TCP(TLS/1.0) c####.isp####.com:443
- TCP(TLS/1.0) 1####.177.14.139:443
Запросы DNS:
- c####.isp####.com
- f####.only####.com
Запросы HTTP POST:
- f####.only####.com:443/12/reg/20K4D5L15RAPOGG6
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/0bc7e620_413a_4cba_90d1_b7534b5c2f53.jar
- /data/data/####/0bf174e0_6176_4e8c_a8b8_ab1d506fc2e4.jar
- /data/data/####/1B9F3D365A2D3600ED8CEF0569F1A390.xml
- /data/data/####/1b367037_c637_4cd0_8d7f_9f336e67acaf.jar
- /data/data/####/1d8ad65c_1c1f_403a_88fe_d4887902889d.jar
- /data/data/####/2B1A20526240CCDA08CA9264AE00F11A.xml
- /data/data/####/31d15d22_fb6a_4c01_88b9_3542406b59e8.jar
- /data/data/####/4b27f5ac_f9b2_45a7_b0a2_f514dac5b811.jar
- /data/data/####/529e9c11_0936_43f2_8d01_826d40c526ba.jar
- /data/data/####/645b6d0e_a9fe_4fbb_b7f2_b63526e5bd50.jar
- /data/data/####/6f7684a5_52ad_44f7_914d_9996d271db0b.jar
- /data/data/####/900be648_af36_4d47_bc4f_2d247a4fd733.jar
- /data/data/####/91095B8CFB38A291412563D946E9DE26.xml
- /data/data/####/9598da19_dfe9_40de_a729_d3d76cf67c5a.jar
- /data/data/####/9a2f6ce9_108f_4a37_a53c_c06793a1f465.jar
- /data/data/####/acbe2ca1_3658_4afd_99da_df17bf1b4445.jar
- /data/data/####/b6ac85e4_cbd7_4486_871a_2029e2ffd49f.jar
- /data/data/####/b9542fd4_1973_4404_9d88_d4841e2f0cd0.jar
- /data/data/####/cb361051_79f8_4489_ab92_f8992474080e.jar
- /data/data/####/cfc77bbe_1e7f_4c53_9669_d42b084bd075.jar
- /data/data/####/d0bc58ac_f069_40cd_b923_fc73af9428cc.jar
- /data/data/####/df6445b0_3550_4d23_9bbf_3dc619a42026.jar
- /data/data/####/f12992c3_6337_49b7_93e5_5e6556e1a6e5.jar
- /data/data/####/gipdd982fda82b17d4692972ca4c15222106e.so
- /data/data/####/jquery_1_7.applet
- /data/data/####/libjiagu1423574422.so
- /data/data/####/lufls6c58d6f57a564a2a9b8a387fe357d175.so
- /data/data/####/na.so
- /data/data/####/oegigo
- /data/data/####/pay_event_7_7.applet
- /data/data/####/pay_method_card_1_7.applet
- /data/data/####/pay_method_mobile_2_7.applet
- /data/data/####/pay_sms_6_7.applet
- /data/data/####/qihoo_jiagu_crash_report.xml
- /data/data/####/qspbvc8fb0fc4d4f5447f9cd341bcc180d85d.so
- /data/data/####/rwsusc73dec02dcb54dd28d20d75dc0f408b3.so
- /data/data/####/tubxdl.jar
- /data/media/####/gpay_jquery_1_7.ap
- /data/media/####/gpay_pay_event_7_7.ap
- /data/media/####/gpay_pay_method_card_1_7.ap
- /data/media/####/gpay_pay_method_mobile_2_7.ap
- /data/media/####/gpay_pay_sms_6_7.ap
Другие:
Запускает следующие shell-скрипты:
- app_process /system/bin com.android.commands.pm.Pm list package
- cat /proc/cpuinfo
- chmod 755 <Package Folder>/.jiagu/libjiagu1423574422.so
- pm list package
- ps
Загружает динамические библиотеки:
- cocos2dcpp
- gipdd982fda82b17d4692972ca4c15222106e
- libjiagu1423574422
- lufls6c58d6f57a564a2a9b8a387fe357d175
- na
- oegigo
- qspbvc8fb0fc4d4f5447f9cd341bcc180d85d
- rwsusc73dec02dcb54dd28d20d75dc0f408b3
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-NoPadding
- AES-CBC-PKCS5Padding
- AES-ECB-PKCS5Padding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES
- AES-CBC-NoPadding
- AES-CBC-PKCS5Padding
- AES-CFB-NoPadding
- RSA-ECB-PKCS1Padding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
