Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.DownLoader.2083
- Android.DownLoader.546.origin
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(HTTP/1.1) fleet-d####.fireba####.com:443
- TCP(HTTP/1.1) a.appj####.com:80
- TCP(TLS/1.0) 1####.177.127.95:443
- TCP(TLS/1.0) t.appsf####.com:443
- TCP(TLS/1.0) api.face####.com:443
- TCP(TLS/1.0) cloudco####.google####.com:443
- TCP(TLS/1.0) android####.go####.com:443
- TCP(TLS/1.0) ssl.google-####.com:443
- TCP(TLS/1.2) 1####.217.218.102:443
- TCP(TLS/1.2) 1####.177.119.139:443
- TCP(TLS/1.2) 1####.177.119.113:443
- TCP(TLS/1.2) 1####.250.145.94:443
- UDP 1####.194.160.74:443
Запросы DNS:
- a.appj####.com
- android####.go####.com
- cloudco####.google####.com
- fleet-d####.fireba####.com
- g####.face####.com
- sett####.crashly####.com
- sett####.crashly####.com.####.8
- ssl.google-####.com
- t.appsf####.com
Запросы HTTP GET:
- api.face####.com:443/v2.8/1831785303722573?fields=####&format=####&sdk=#...
- fleet-d####.fireba####.com:443/.ws?ns=####&v=####
Запросы HTTP POST:
- a.appj####.com/ad-service/ad/mark
- api.face####.com:443/v2.8/1831785303722573/activities?access_token=####&...
- api.face####.com:443/v2.8/1831785303722573/activities?format=####&sdk=####
- t.appsf####.com:443/api/v4/androidevent?buildnumber=####&app_id=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/.log.lock
- /data/data/####/.log.ls
- /data/data/####/617EADF3015F-0001-0D8F-EAE9A41C2134BeginSession.cls_temp
- /data/data/####/617EADF3015F-0001-0D8F-EAE9A41C2134SessionApp.cls
- /data/data/####/617EADF3015F-0001-0D8F-EAE9A41C2134SessionOS.cls
- /data/data/####/617EADFA02D3-0001-0E11-EAE9A41C2134BeginSession.cls
- /data/data/####/617EADFA02D3-0001-0E11-EAE9A41C2134SessionApp.cls_temp
- /data/data/####/617EADFA02D3-0001-0E11-EAE9A41C2134SessionDevice.cls
- /data/data/####/617EADFA02D3-0001-0E11-EAE9A41C2134SessionOS.cls_temp
- /data/data/####/617EADFA02D3-0001-0E11-EAE9A41C2134keys.meta
- /data/data/####/617EADFA02D3-0001-0E11-EAE9A41C2134user.meta
- /data/data/####/AppEventsLogger.persistedevents
- /data/data/####/B16001.json
- /data/data/####/B16001_sound.mp4
- /data/data/####/E02010.json
- /data/data/####/E02010_alpha.mp4
- /data/data/####/E02010_color.mp4
- /data/data/####/E02016.json
- /data/data/####/E02016_alpha.mp4
- /data/data/####/E02016_color.mp4
- /data/data/####/E16001.json
- /data/data/####/E16001_alpha.mp4
- /data/data/####/E16001_color.mp4
- /data/data/####/E16009.json
- /data/data/####/E16009_alpha.mp4
- /data/data/####/E16009_color.mp4
- /data/data/####/F00000.json
- /data/data/####/F00000_lookup_texture.png
- /data/data/####/F000068.json
- /data/data/####/F000068_lookup_texture.png
- /data/data/####/F000071.json
- /data/data/####/F000071_lookup_texture.png
- /data/data/####/F000073.json
- /data/data/####/F000073_lookup_texture.png
- /data/data/####/F00009.json
- /data/data/####/F00009_lookup_texture.png
- /data/data/####/F00010.json
- /data/data/####/F000109.json
- /data/data/####/F000109_lookup_texture.png
- /data/data/####/F00010_lookup_texture.png
- /data/data/####/F000110.json
- /data/data/####/F000110_lookup_texture.png
- /data/data/####/F00012.json
- /data/data/####/F00012_lookup_texture.png
- /data/data/####/F000130.json
- /data/data/####/F000130_lookup_texture.png
- /data/data/####/F00014.json
- /data/data/####/F00014_lookup_texture.png
- /data/data/####/F02000.json
- /data/data/####/F02000_lookup_texture.png
- /data/data/####/F80044.json
- /data/data/####/F80044_lookup_texture.png
- /data/data/####/I000279.json
- /data/data/####/I000279_ICO.png
- /data/data/####/I000285.json
- /data/data/####/I000285_ICO.png
- /data/data/####/I000288.json
- /data/data/####/I000288_ICO.png
- /data/data/####/I000298.json
- /data/data/####/I000298_ICO.png
- /data/data/####/I000682.json
- /data/data/####/I000682_ICO.png
- /data/data/####/I000857.json
- /data/data/####/I000857_ICO.png
- /data/data/####/I000860.json
- /data/data/####/I000860_ICO.png
- /data/data/####/I000862.json
- /data/data/####/I000862_ICO.png
- /data/data/####/I000918.json
- /data/data/####/I000918_ICO.png
- /data/data/####/I000956.json
- /data/data/####/I000956_ICO.png
- /data/data/####/I001010.json
- /data/data/####/I001010_ICO.png
- /data/data/####/I001159.json
- /data/data/####/I001159_ICO.png
- /data/data/####/I001162.json
- /data/data/####/I001162_ICO.png
- /data/data/####/I01006.json
- /data/data/####/I01006_ICO.png
- /data/data/####/I01020.json
- /data/data/####/I01020_ICO.png
- /data/data/####/I01027.json
- /data/data/####/I01027_ICO.png
- /data/data/####/I01036.json
- /data/data/####/I01036_ICO.png
- /data/data/####/I01052.json
- /data/data/####/I01052_ICO.png
- /data/data/####/I02009.json
- /data/data/####/I02009_ICO.png
- /data/data/####/I02016.json
- /data/data/####/I02016_ICO.png
- /data/data/####/I02022.json
- /data/data/####/I02022_ICO.png
- /data/data/####/I02027.json
- /data/data/####/I02027_ICO.png
- /data/data/####/I05017.json
- /data/data/####/I05017_ICO.png
- /data/data/####/I05021.json
- /data/data/####/I05021_ICO.png
- /data/data/####/I05028.json
- /data/data/####/I05028_ICO.png
- /data/data/####/I05030.json
- /data/data/####/I05030_ICO.png
- /data/data/####/I05058.json
- /data/data/####/I05058_ICO.png
- /data/data/####/I06026.json
- /data/data/####/I06026_ICO.png
- /data/data/####/I09000.json
- /data/data/####/I09000_ICO.png
- /data/data/####/I09001.json
- /data/data/####/I09001_ICO.png
- /data/data/####/I09020.json
- /data/data/####/I09020_ICO.png
- /data/data/####/I09029.json
- /data/data/####/I09029_ICO.png
- /data/data/####/I16001.json
- /data/data/####/I16001_ICO.png
- /data/data/####/I16009.json
- /data/data/####/I16009_ICO.png
- /data/data/####/I17001.json
- /data/data/####/I17001_ICO.png
- /data/data/####/I80044.json
- /data/data/####/I80044_ICO.png
- /data/data/####/I80044_ICO.png.png
- /data/data/####/I90000.json
- /data/data/####/I90000_ICO.png
- /data/data/####/I90010.json
- /data/data/####/I90010_ICO.png
- /data/data/####/I90012.json
- /data/data/####/I90012_ICO.png
- /data/data/####/I90014.json
- /data/data/####/I90014_ICO.png
- /data/data/####/LollicamDatabase-journal
- /data/data/####/M000117.json
- /data/data/####/M000117_face.png
- /data/data/####/PixbeeDatabase-journal
- /data/data/####/S000148.json
- /data/data/####/S000148_texture.png
- /data/data/####/S000154.json
- /data/data/####/S000154_texture.png
- /data/data/####/S000156.json
- /data/data/####/S000156_texture.png
- /data/data/####/S000158.json
- /data/data/####/S000158_texture.png
- /data/data/####/S000406.json
- /data/data/####/S000406_texture.png
- /data/data/####/S000496.json
- /data/data/####/S000496_texture.png
- /data/data/####/S000517.json
- /data/data/####/S000517_texture.png
- /data/data/####/S000636.json
- /data/data/####/S000636_texture.png
- /data/data/####/S01004.json
- /data/data/####/S01004_texture.png
- /data/data/####/S01014.json
- /data/data/####/S01014_texture.png
- /data/data/####/S01017.json
- /data/data/####/S01017_texture.png
- /data/data/####/S01023.json
- /data/data/####/S01023_texture.png
- /data/data/####/S01036.json
- /data/data/####/S01036_texture.png
- /data/data/####/S02001.json
- /data/data/####/S02001_texture.png
- /data/data/####/S02007.json
- /data/data/####/S02007_texture.png
- /data/data/####/S05017.json
- /data/data/####/S05017_texture.png
- /data/data/####/S05021.json
- /data/data/####/S05021_texture.png
- /data/data/####/S05028.json
- /data/data/####/S05028_texture.png
- /data/data/####/S05030.json
- /data/data/####/S05030_texture.png
- /data/data/####/S05058.json
- /data/data/####/S05058_texture.png
- /data/data/####/S06026.json
- /data/data/####/S06026_texture.png
- /data/data/####/S09000.json
- /data/data/####/S09000_texture.png
- /data/data/####/S09001.json
- /data/data/####/S09001_texture.png
- /data/data/####/S09016.json
- /data/data/####/S09016_texture.png
- /data/data/####/S09023.json
- /data/data/####/S09023_texture.png
- /data/data/####/S17001.json
- /data/data/####/S17001_texture.png
- /data/data/####/TwitterAdvertisingInfoPreferences.xml
- /data/data/####/appsflyer-data.xml
- /data/data/####/appsflyer-data.xml.bak
- /data/data/####/classes.dex
- /data/data/####/classes2.dex
- /data/data/####/classes3.dex
- /data/data/####/com.crashlytics.prefs.xml
- /data/data/####/com.crashlytics.sdk.android;answers;settings.xml
- /data/data/####/com.facebook.internal.preferences.APP_SETTINGS.xml
- /data/data/####/com.facebook.sdk.appEventPreferences.xml
- /data/data/####/com.facebook.sdk.attributionTracking.xml
- /data/data/####/com.google.android.gms.analytics.prefs.xml
- /data/data/####/com.google.android.gms.appid-no-backup
- /data/data/####/com.google.android.gms.appid.xml
- /data/data/####/com.google.android.gms.measurement.prefs.xml
- /data/data/####/com.google.android.gms.measurement.prefs.xml.bak
- /data/data/####/com.google.firebase.auth.api.Store.W0RFRkFVTFRd...Y2.xml
- /data/data/####/com.maimeng.jffaceswaper.dex
- /data/data/####/com.maimeng.jffaceswaper.dex.flock (deleted)
- /data/data/####/com.maimeng.jffaceswaper.odex
- /data/data/####/com.maimeng.jffaceswaper.odex.flock (deleted)
- /data/data/####/com.maimeng.jffaceswaper.zip
- /data/data/####/com.maimeng.jffaceswaper_preferences.xml
- /data/data/####/com.maimeng.jffaceswaper_preferences.xml.bak
- /data/data/####/com.seerslab.pixbee.PREFERENCE_CLIPS.xml
- /data/data/####/com.seerslab.pixbee.PREFERENCE_CLIPS.xml.bak
- /data/data/####/face_japan.json
- /data/data/####/face_japan_eye.json
- /data/data/####/favorfilters.db-journal
- /data/data/####/floatingbuttons.db-journal
- /data/data/####/gaClientId
- /data/data/####/gaClientIdData
- /data/data/####/google_analytics_v4.db-journal
- /data/data/####/google_app_measurement_local.db
- /data/data/####/google_app_measurement_local.db-journal
- /data/data/####/images.zip
- /data/data/####/initialization_marker
- /data/data/####/libjiagu.so
- /data/data/####/mask_mesh_60_14.dat
- /data/data/####/original.png
- /data/data/####/persisted_config
- /data/data/####/proc_auxv
- /data/data/####/profile
- /data/data/####/session_analytics.tap
- /data/data/####/watermark.zip
- /data/data/####/watermark_1.png
- /data/data/####/watermark_10.png
- /data/data/####/watermark_2.png
- /data/data/####/watermark_3.png
- /data/data/####/watermark_4.png
- /data/data/####/watermark_5.png
- /data/data/####/watermark_6.png
- /data/data/####/watermark_7.png
- /data/data/####/watermark_8.png
- /data/data/####/watermark_9.png
- /data/data/####/white_mask.png
Другие:
Запускает следующие shell-скрипты:
- chmod 755 /data/user/0/<Package>/.jiagu/libjiagu.so
Использует следующие алгоритмы для расшифровки данных:
- AES-ECB-PKCS5Padding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Осуществляет доступ к интерфейсу камеры.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Запрашивает разрешение на отображение системных уведомлений.
