Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.MulDrop.1140
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(HTTP/1.1) www.sy####.com:80
- TCP(HTTP/1.1) d####.fl####.com:80
- TCP(TLS/1.0) advance####.gam####.com:443
- TCP(TLS/1.0) h.online-####.net:443
- TCP(TLS/1.0) www.google####.com:443
- TCP(TLS/1.0) nb.gam####.com:443
- TCP(TLS/1.0) and####.google####.com:443
- TCP(TLS/1.0) android####.go####.com:443
- TCP(TLS/1.0) l####.gam####.com:443
- TCP(TLS/1.0) www.gst####.com:443
- TCP(TLS/1.0) instant####.google####.com:443
- TCP(TLS/1.0) and####.cli####.go####.com:443
- TCP(TLS/1.0) d####.gam####.com:443
- TCP(TLS/1.2) instant####.google####.com:443
- TCP(TLS/1.2) www.google####.com:443
- TCP(TLS/1.2) and####.cli####.go####.com:443
- TCP(TLS/1.2) 1####.217.168.195:443
- TCP npk.gam####.com:26381
Запросы DNS:
- advance####.gam####.com
- and####.cli####.go####.com
- and####.google####.com
- android####.go####.com
- d####.fl####.com
- d####.gam####.com
- h.online-####.net
- instant####.google####.com
- l####.gam####.com
- nb.gam####.com
- npk.gam####.com
- p####.gam####.com
- rrx68gi####.d.aa.####.net
- rrx68gi####.d.aa.####.net
- www.google####.com
- www.gst####.com
- www.sy####.com
Запросы HTTP GET:
- d####.gam####.com:443/?key=####
- d####.gam####.com:443/getTime.php
- h.online-####.net:443/fp/mobile/conf?osVersion=####&session_id=####&org_...
Запросы HTTP POST:
- advance####.gam####.com:443/gv_connect?put=####&k=####
- d####.fl####.com/aap.do
- l####.gam####.com:443/phone_login/check.php
- l####.gam####.com:443/term_last_time.php
- nb.gam####.com:443/connect.html
- www.sy####.com/Api.php/Home/Index/force
Изменения в файловой системе:
Создает следующие файлы:
- /data/dalvik-cache/####/system@framework@am.jar@classes.dex
- /data/dalvik-cache/####/system@framework@am.jar@classes.dex.flo...leted)
- /data/data/####/.flurryagent.-721cc3a0
- /data/data/####/.jg.ic
- /data/data/####/.lock (deleted)
- /data/data/####/CartoonWarsBladeLauncher.xml
- /data/data/####/GvNews.xml
- /data/data/####/MyPrefsFile.xml
- /data/data/####/ThreatMetrixMobileSDK.xml
- /data/data/####/Web Data
- /data/data/####/WebViewChromiumPrefs.xml
- /data/data/####/cdm
- /data/data/####/checkerData.xml
- /data/data/####/classes.dex
- /data/data/####/classes.oat
- /data/data/####/classes2.dex
- /data/data/####/com.gamevil.cartoonwars.blade.global_preferences.xml
- /data/data/####/gift.xml
- /data/data/####/h.online-metrix.net.443
- /data/data/####/jg_so_upgrade_setting.xml
- /data/data/####/libjiagu.so
- /data/data/####/live.db
- /data/data/####/live.db-journal
- /data/data/####/liveData.xml
- /data/data/####/metrics_guid
- /data/data/####/proc_auxv
- /data/data/####/webview_data.lock
- /data/data/####/xUtils_http_cache.db
- /data/data/####/xUtils_http_cache.db-journal
- /data/data/####/xUtils_http_cache.db-journal (deleted)
- /data/data/####/xUtils_http_cache.db-shm (deleted)
- /data/data/####/xUtils_http_cache.db-wal (deleted)
- /data/data/####/xUtils_http_cookie.db
- /data/data/####/xUtils_http_cookie.db-journal
- /data/data/####/xUtils_http_cookie.db-journal (deleted)
- /data/data/####/xUtils_http_cookie.db-shm (deleted)
- /data/data/####/xUtils_http_cookie.db-wal (deleted)
- /data/misc/####/primary.prof
Другие:
Запускает следующие shell-скрипты:
- /system/bin/log -p d -t su /dev/com.android.settings/.socket3448
- /system/bin/log -p d -t su 10065 /system/bin/app_process32 executing 0 /system/bin/sh using binary /system/bin/sh : sh
- /system/bin/log -p d -t su child exited
- /system/bin/log -p d -t su connecting client 3433
- /system/bin/log -p d -t su connecting client 3619
- /system/bin/log -p d -t su connecting client 4812
- /system/bin/log -p d -t su db allowed
- /system/bin/log -p d -t su remote args: 1
- /system/bin/log -p d -t su remote pid: 3433
- /system/bin/log -p d -t su remote pid: 3619
- /system/bin/log -p d -t su remote pid: 4812
- /system/bin/log -p d -t su remote pts_slave:
- /system/bin/log -p d -t su remote req pid: 3381
- /system/bin/log -p d -t su remote req pid: 3584
- /system/bin/log -p d -t su remote req pid: 4679
- /system/bin/log -p d -t su remote uid: 10065
- /system/bin/log -p d -t su sending code
- /system/bin/log -p d -t su starting daemon client 10065 10065
- /system/bin/log -p d -t su su invoked.
- /system/bin/log -p d -t su waiting for child exit
- /system/bin/log -p d -t su waiting for user
- /system/bin/log -p e -t su sqlite3 open /data/user_de/0/com.android.settings/databases/su.sqlite failure: 14
- chmod 755 /data/user/0/<Package>/.jiagu/libjiagu.so
- sh
- su
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-NoPadding
Использует повышенные привилегии.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Отрисовывает собственные окна поверх других приложений.
Запрашивает разрешение на отображение системных уведомлений.
