Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Backdoor.657.origin
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(HTTP/1.1) mi.g####.qq.com:80
- TCP(HTTP/1.1) a.e####.cn:80
- TCP(HTTP/1.1) pic.ange####.cn:80
- TCP(HTTP/1.1) api.e####.cn:80
- TCP(HTTP/1.1) c.appj####.com:80
- TCP(HTTP/1.1) 1####.55.28.235:80
- TCP(TLS/1.0) 1####.250.179.138:443
- TCP(TLS/1.0) android####.go####.com:443
- TCP(TLS/1.0) instant####.google####.com:443
- TCP(TLS/1.0) www.gst####.com:443
- TCP(TLS/1.2) 1####.250.179.138:443
- TCP(TLS/1.2) 1####.250.179.174:443
- TCP(TLS/1.2) 1####.250.179.206:443
- TCP(TLS/1.2) 1####.250.179.202:443
- TCP(TLS/1.2) 2####.58.208.99:443
Запросы DNS:
- a.e####.cn
- android####.go####.com
- api.e####.cn
- ax.admo####.top
- c####.360.cn
- c####.360.cn.####.8
- c.appj####.com
- instant####.google####.com
- m####.go####.com
- mi.g####.qq.com
- pic.ange####.cn
- s####.e.qq.com
- www.gst####.com
Запросы HTTP GET:
- a.e####.cn/favicon.ico
- a.e####.cn/public/getClickUrlList.shtml?screenwidth=####&os=####&lng=###...
- a.e####.cn/public/getClickUrlPoList.shtml?screenwidth=####&os=####&lng=#...
- a.e####.cn/public/getCommonStartUpAd.shtml?os=####&lng=####&ecookad=####...
- a.e####.cn/public/rab.shtml?id=####&network=####&machine=####
- a.e####.cn/public/showUrlVisit.shtml?os=####&osversion=####&appversion=#...
- api.e####.cn/public/getSecondaryHomeData.shtml?machine=####&appid=####&t...
- mi.g####.qq.com/gdt_mview.fcg?actual_width=####&fc=####&datatype=####&ac...
- pic.ange####.cn/web/247998364.jpg!m720
- pic.ange####.cn/web/262607728.jpg!m720
- pic.ange####.cn/web/262712567.jpg!m720
- pic.ange####.cn/web/263056429.jpg!s4
- pic.ange####.cn/web/265154797.jpg!m480
- pic.ange####.cn/web/265183837.jpg!m720
Запросы HTTP POST:
- c.appj####.com/ad/splash/stats.html
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/.jgrpa.xml
- /data/data/####/.log.lock
- /data/data/####/.log.rpa
- /data/data/####/0fa8ee832d3bfa3e_0
- /data/data/####/0fad668c157258a3_0
- /data/data/####/152df2851f2c16af_0
- /data/data/####/2419851bbb8088b3_0
- /data/data/####/31fa4bc308c97f85_0
- /data/data/####/327135fb1267c831_0
- /data/data/####/34c42ab66318c2bf_0
- /data/data/####/3918b474373b2149_0
- /data/data/####/3e71a9b33da998a4_0
- /data/data/####/4069dc677fc6a55d_0
- /data/data/####/4632fdaa1dcdcd2a_0
- /data/data/####/4eeaf77174819668_0
- /data/data/####/50383c15a40a2650_0
- /data/data/####/5066a7b624baf7f4_0
- /data/data/####/56b22ae53b06c256_0
- /data/data/####/602d874583f37252_0
- /data/data/####/626ca70572d1465f_0
- /data/data/####/6d997df6daf84ba7_0
- /data/data/####/7451a7e787a20d49_0
- /data/data/####/7f70fd55c550299c_0
- /data/data/####/810123762a2ef3d7_0
- /data/data/####/8b0f4ce42688d396_0
- /data/data/####/8b0f4ce42688d396_0 (deleted)
- /data/data/####/8cf28f2d82415f0b_0
- /data/data/####/9465b626af9d68e5_0
- /data/data/####/961de9f9dcdad4e3_0
- /data/data/####/9e921a6b6ff12c84_0
- /data/data/####/ACCS_SDK_CHANNEL.xml
- /data/data/####/AdloadStore.xml
- /data/data/####/Alvin2.xml
- /data/data/####/BuglySdkInfos.xml
- /data/data/####/ContextData.xml
- /data/data/####/Cookies-journal
- /data/data/####/GDTSDK.db
- /data/data/####/GDTSDK.db-journal
- /data/data/####/Ji.xml
- /data/data/####/MessageStore.db-journal
- /data/data/####/MsgLogStore.db-journal
- /data/data/####/WebViewChromiumPrefs.xml
- /data/data/####/a8e8390a859f0757_0
- /data/data/####/acddcefc35032be5_0
- /data/data/####/ad_show_time.xml
- /data/data/####/agoo.pid
- /data/data/####/b3b41f20a64ba935_0
- /data/data/####/c85a70a4c89736c7_0
- /data/data/####/classes.dex
- /data/data/####/classes.oat
- /data/data/####/classes2.dex
- /data/data/####/cn.ecook.xml
- /data/data/####/cn.ecook.xml.bak
- /data/data/####/cn.jiansheng_preferences.xml
- /data/data/####/collectiondatabase
- /data/data/####/collectiondatabase-journal
- /data/data/####/d34721efaef8ef3b_0
- /data/data/####/dW1weF9pbnRlcm5hbF8xNjQwOTQ5ODkyMjEx;
- /data/data/####/ecookdatabase
- /data/data/####/ecookdatabase-journal
- /data/data/####/ee968d743775209d_0
- /data/data/####/ef4dfee792cb2111_0
- /data/data/####/f69a6d42db764ffa_0
- /data/data/####/f7fe202e20c4d62b_0
- /data/data/####/f9236e6975e22d2b_0
- /data/data/####/f9236e6975e22d2b_0 (deleted)
- /data/data/####/f94c54b9cfbbf54c_0
- /data/data/####/gdt_plugin.dex
- /data/data/####/gdt_plugin.dex.flock (deleted)
- /data/data/####/gdt_plugin.jar
- /data/data/####/gdt_plugin.jar.sig
- /data/data/####/index
- /data/data/####/info.xml
- /data/data/####/jg_app_update_settings_random.xml
- /data/data/####/jg_so_upgrade_setting.xml
- /data/data/####/libjiagu.so
- /data/data/####/metrics_guid
- /data/data/####/qihoo_jiagu_crash_report.xml
- /data/data/####/the-real-index
- /data/data/####/um_pri.xml
- /data/data/####/umeng_common_config.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/umeng_message_state.xml
- /data/data/####/update_lc
- /data/media/####/13eynth3topdajgkjr7q2wvii.tmp
- /data/media/####/1w0aufkjy60i4954ke7hlwzbu.tmp
- /data/media/####/2k8ejgqiozufcxdw37cjxr27s.tmp
- /data/media/####/4acfwmtqbp9rfq5lh31lxp29p
- /data/media/####/6wg4qjd9galhvb5dajx0h0npo
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/br4yybiq3gwnyn5esyw3e4vn.tmp
- /data/misc/####/primary.prof
Другие:
Запускает следующие shell-скрипты:
- chmod 755 /data/user/0/<Package>/.jiagu/libjiagu.so
- ls /
- ls /sys/class/thermal
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-ECB-PKCS7Padding
- RSA
- RSA-ECB-PKCS1Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию о настроках APN.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Управляет Wi-Fi-подключением.
Запрашивает разрешение на отображение системных уведомлений.
