Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.RemoteCode.300.origin
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(TLS/1.0) and####.google####.com:443
- TCP(TLS/1.0) 1####.250.179.170:443
- TCP(TLS/1.0) android####.go####.com:443
- TCP(TLS/1.0) gd-s####.j####.cn:443
- TCP(TLS/1.0) t####.j####.cn:443
- TCP(TLS/1.0) ce3e####.j####.cn:443
- TCP(TLS/1.0) bj####.j####.cn:443
- TCP(TLS/1.2) 1####.250.179.142:443
- TCP(TLS/1.2) 1####.250.179.195:443
- TCP 1####.230.236.52:7001
- UDP 74.1####.100.169:443
- UDP easytom####.com:19000
- TCP 1####.232.58.239:21006
Запросы DNS:
- ali-s####.j####.cn
- and####.google####.com
- android####.go####.com
- bj####.j####.cn
- ce3e####.j####.cn
- easytom####.com
- gd-s####.j####.cn
- m####.go####.com
- s.j####.cn
- s.j####.cn.####.8
- sis.j####.io
- t####.j####.cn
Запросы HTTP POST:
- bj####.j####.cn:443/v2/appawake/status
- ce3e####.j####.cn:443/wi/cjc4sa
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.cl
- /data/data/####/2323d32f-3a63-4839-ae3a-2bc7d5078bc3
- /data/data/####/330f4b11-e909-4c66-909a-31d8c8506175
- /data/data/####/3f127695-05e6-474f-9a45-ab5015d69f7c
- /data/data/####/4529cdf5-45e0-4d82-bac6-61ba67c4e236
- /data/data/####/4b9edd1c-4624-499c-8a96-f72526604eeb
- /data/data/####/8a7d44cd-8fda-4341-a8e3-0d80ebdcae23
- /data/data/####/IpInfos.xml
- /data/data/####/bal.catch
- /data/data/####/ban.catch
- /data/data/####/bwc.catch
- /data/data/####/classes.dex
- /data/data/####/classes.dex.flock (deleted)
- /data/data/####/classes.dex;classes2.dex
- /data/data/####/classes.dex;classes3.dex
- /data/data/####/classes.dex;classes4.dex
- /data/data/####/classes.dex;classes5.dex
- /data/data/####/cn.jiguang.common.xml
- /data/data/####/cn.jiguang.prefs.xml
- /data/data/####/cn.jiguang.sdk.address.xml
- /data/data/####/cn.jiguang.sdk.report.xml
- /data/data/####/cn.jiguang.sdk.user.profile.xml
- /data/data/####/cn.jiguang.verifysdk.sms.xml
- /data/data/####/cn.jpush.android.user.profile.xml
- /data/data/####/cn.jpush.preferences.v2.rid.xml
- /data/data/####/cn.jpush.preferences.v2.xml
- /data/data/####/cn.jpush.preferences.v2.xml.bak
- /data/data/####/f9425808-89d5-4b22-9e7e-958cef541bc4
- /data/data/####/libjiagu.so
- /data/data/####/libmmkv.so
- /data/data/####/rl.catch
- /data/misc/####/primary.prof
Другие:
Запускает следующие shell-скрипты:
- ps
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- RSA-ECB-OAEPWithSHA256AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию об установленных приложениях.
Запрашивает разрешение на отображение системных уведомлений.
