Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.MulDrop.1139
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(HTTP/1.1) api-acc####.edges####.net:80
- TCP(HTTP/1.1) a.appj####.com:80
- TCP(HTTP/1.1) api.fusepow####.com:80
- UDP(NTP) p####.ntp.org:123
- TCP(TLS/1.0) l####.chartb####.com:443
- TCP(TLS/1.0) analy####.q####.y####.com:443
- TCP(TLS/1.0) and####.cli####.go####.com:443
- TCP(TLS/1.0) t2.chartb####.com:443
- TCP(TLS/1.0) d####.fl####.com:443
- TCP(TLS/1.0) con####.koc####.com:443
- TCP(TLS/1.0) ads.fl####.com:443
- TCP(TLS/1.0) www.gst####.com:443
- TCP(TLS/1.0) api.face####.com:443
- TCP(TLS/1.0) s####.c.hothead####.com:443
- TCP(TLS/1.0) safebro####.google####.com:443
- TCP(TLS/1.0) 1####.250.27.95:443
- TCP(TLS/1.2) www.gst####.com:443
- TCP(TLS/1.2) 1####.250.27.95:443
- TCP(TLS/1.2) and####.cli####.go####.com:443
- TCP 1####.250.27.95:443
Запросы DNS:
- a.appj####.com
- ads.fl####.com
- analy####.q####.y####.com
- and####.cli####.go####.com
- api.fusepow####.com
- api.jiu####.com
- api.k####.me
- api.vu####.com
- cdn.fl####.com
- con####.koc####.com
- d####.fl####.com
- g####.face####.com
- instant####.google####.com
- l####.chartb####.com
- p####.ntp.org
- s####.c.hothead####.com
- safebro####.google####.com
- t2.chartb####.com
- www.gst####.com
Запросы HTTP GET:
- analy####.q####.y####.com:443/v1/public/yql?q=selec####
- api.face####.com:443/v2.2/511395102228943?fields=####&format=####&sdk=####
- t2.chartb####.com:443/base_templates/html/playable-core-v2-CBCloseButton...
- t2.chartb####.com:443/base_templates/html/static-etna-e4bf514d28.html
- t2.chartb####.com:443/base_templates/html/video-v3_01-9ed42bcd8f.html
Запросы HTTP POST:
- a.appj####.com/ad-service/ad/mark
- ads.fl####.com:443/v14/getAds.do
- api-acc####.edges####.net/api/v4/config
- api-acc####.edges####.net/api/v4/new?app_id=####&ifa=####
- api-acc####.edges####.net/api/v4/requestAd
- api-acc####.edges####.net/api/v4/sessionStart
- api.face####.com:443/v2.2/511395102228943/activities?access_token=####&f...
- api.face####.com:443/v2.2/511395102228943/activities?format=####&sdk=####
- api.fusepow####.com/analytics.php
- con####.koc####.com:443/track/kvinit
- d####.fl####.com:443/aap.do
- l####.chartb####.com:443/api/config
- l####.chartb####.com:443/api/install
- l####.chartb####.com:443/webview/v2/interstitial/get
- l####.chartb####.com:443/webview/v2/prefetch
- s####.c.hothead####.com:443/Sleet/
- s####.c.hothead####.com:443/api/Generic_v1/HiIAmNewHere
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.YFlurrySenderIndex.info.AnalyticsData_QP3MD8FZ...ND_216
- /data/data/####/.YFlurrySenderIndex.info.AnalyticsMain
- /data/data/####/.jg.ic
- /data/data/####/.yflurrydatasenderblock.9338fd24-fca6-469c-b19a...44fee2
- /data/data/####/101496278739
- /data/data/####/AppEventsLogger.persistedsessioninfo
- /data/data/####/FusePrefsFile.xml
- /data/data/####/VUNGLE_PUB_APP_INFO.xml
- /data/data/####/WebViewChromiumPrefs.xml
- /data/data/####/cbPrefs.xml
- /data/data/####/cb_previous_session_info
- /data/data/####/classes.dex
- /data/data/####/classes.oat
- /data/data/####/classes2.dex
- /data/data/####/com.facebook.sdk.appEventPreferences.xml
- /data/data/####/com.facebook.sdk.attributionTracking.xml
- /data/data/####/com.google.android.gcm.xml
- /data/data/####/com.hotheadgames.google.free.rawspace_preferences.xml
- /data/data/####/device_id.xml.xml
- /data/data/####/events2-journal
- /data/data/####/fiverocks.xml
- /data/data/####/initPrefs.xml
- /data/data/####/jg_app_update_settings_random.xml
- /data/data/####/journal.tmp
- /data/data/####/libjiagu.so
- /data/data/####/me.kiip.sdk.xml
- /data/data/####/metrics_guid
- /data/data/####/proc_auxv
- /data/data/####/sky.sav
- /data/data/####/space.c.hotheadgames.com.443
- /data/data/####/vqs_shared_data.xml
- /data/data/####/vungle-journal
- /data/media/####/.adId
- /data/media/####/0069a0bd.bin
- /data/media/####/025de603.bin
- /data/media/####/027a5aff.bin
- /data/media/####/037f25c3.bin
- /data/media/####/04f9b706.bin
- /data/media/####/057420c1.bin
- /data/media/####/064e6bbb.bin
- /data/media/####/0a40d501.bin
- /data/media/####/0cbcc5f3.bin
- /data/media/####/0f6e00a7.bin
- /data/media/####/0f9de21d.bin
- /data/media/####/0feeb246.bin
- /data/media/####/1.slt
- /data/media/####/12aa3fa8.bin
- /data/media/####/12dd8e6f.bin
- /data/media/####/15e5d835.bin
- /data/media/####/16e945dc.bin
- /data/media/####/17a78896.bin
- /data/media/####/18e502b9.bin
- /data/media/####/198e76df.bin
- /data/media/####/1bb3045a.bin
- /data/media/####/1d3d02e8.bin
- /data/media/####/1db4a9b0.bin
- /data/media/####/1f24886c.bin
- /data/media/####/23d21280.bin
- /data/media/####/24cf5ced.bin
- /data/media/####/26494d86.bin
- /data/media/####/26c77cfd.bin
- /data/media/####/2dc033f6.bin
- /data/media/####/2f05741c.bin
- /data/media/####/2fd33be5.bin
- /data/media/####/327bbf02.bin
- /data/media/####/3329e9dc.bin
- /data/media/####/36170c4c.bin
- /data/media/####/394521a6.bin
- /data/media/####/397c8084.bin
- /data/media/####/3c777a62.bin
- /data/media/####/3d324c26.bin
- /data/media/####/3fe63577.bin
- /data/media/####/49f6c903.bin
- /data/media/####/4a12d6bf.bin
- /data/media/####/4c922082.bin
- /data/media/####/4efabc85.bin
- /data/media/####/507cb82b.bin
- /data/media/####/517c4be6.bin
- /data/media/####/52dd95ba.bin
- /data/media/####/540c24fe.bin
- /data/media/####/5944e9df.bin
- /data/media/####/5a2136f5.bin
- /data/media/####/5cc6c694.bin
- /data/media/####/5ce40425.bin
- /data/media/####/5e6b8b5f.bin
- /data/media/####/5eed0ad4.bin
- /data/media/####/606ac746.bin
- /data/media/####/6076f753.bin
- /data/media/####/62d3eca8.bin
- /data/media/####/6a0954d6.bin
- /data/media/####/6b4129af.bin
- /data/media/####/6e69356a.bin
- /data/media/####/707dedb2.bin
- /data/media/####/71fcc96d.bin
- /data/media/####/745d0150.bin
- /data/media/####/75c25121.bin
- /data/media/####/75d9cd35.bin
- /data/media/####/763f94a5.bin
- /data/media/####/795616ee.bin
- /data/media/####/7d527d3d.bin
- /data/media/####/7e26c11e.bin
- /data/media/####/7e3435cc.bin
- /data/media/####/7f7b2377.bin
- /data/media/####/8208e411.bin
- /data/media/####/84396cf6.bin
- /data/media/####/8474f5a2.bin
- /data/media/####/87450f30.bin
- /data/media/####/876372b5.bin
- /data/media/####/8aa7b997.bin
- /data/media/####/8aba2141.bin
- /data/media/####/8be7904b.bin
- /data/media/####/8d16f99a.bin
- /data/media/####/8d2e06ca.bin
- /data/media/####/918a1937.bin
- /data/media/####/935a9b05.bin
- /data/media/####/937e8680.bin
- /data/media/####/949b83a9.bin
- /data/media/####/96f478cc.bin
- /data/media/####/9ab055e6.bin
- /data/media/####/9adcdd9e.bin
- /data/media/####/9b13524a.bin
- /data/media/####/9d788aed.bin
- /data/media/####/a0e85687.bin
- /data/media/####/a0ff4606.bin
- /data/media/####/a15dc568.bin
- /data/media/####/a312b584.bin
- /data/media/####/a36ecd9c.bin
- /data/media/####/a4196944.bin
- /data/media/####/a64bfeb8.bin
- /data/media/####/a74a12e6.bin
- /data/media/####/a8d8f11f.bin
- /data/media/####/aaf7e73b.bin
- /data/media/####/ac1a1bb0.bin
- /data/media/####/ac3addee.bin
- /data/media/####/ac4d96d5.bin
- /data/media/####/adc95905.bin
- /data/media/####/ae685c50.bin
- /data/media/####/af291403.bin
- /data/media/####/b08e9a12.bin
- /data/media/####/b100e2a2.bin
- /data/media/####/b251c9dc.bin
- /data/media/####/b2f2303d.bin
- /data/media/####/b5085cec.bin
- /data/media/####/b9483f7a.bin
- /data/media/####/ba7fce01.bin
- /data/media/####/bacf4516.bin
- /data/media/####/bf3be747.bin
- /data/media/####/c4bcb082.bin
- /data/media/####/c9bd4c64.bin
- /data/media/####/c9f6eb8c.bin
- /data/media/####/caa0706e.bin
- /data/media/####/caa44692.bin
- /data/media/####/canary
- /data/media/####/cb99ef47.bin
- /data/media/####/cb9dc935.bin
- /data/media/####/cd26e177.bin
- /data/media/####/cee691ee.bin
- /data/media/####/content.hha
- /data/media/####/current.slt
- /data/media/####/d36745e1.bin
- /data/media/####/d44c4f6b.bin
- /data/media/####/d500eedf.bin
- /data/media/####/d558f4ef.bin
- /data/media/####/d61b146d.bin
- /data/media/####/d88caad2.bin
- /data/media/####/d8ef50a3.bin
- /data/media/####/db7a8131.bin
- /data/media/####/dc0fc294.bin
- /data/media/####/df58c474.bin
- /data/media/####/e168104f.bin
- /data/media/####/e1e9ad61.bin
- /data/media/####/e24ba8f9.bin
- /data/media/####/e2e64433.bin
- /data/media/####/e329f3f6.bin
- /data/media/####/e49235b0.bin
- /data/media/####/e4c28bcb.bin
- /data/media/####/e59296ae.bin
- /data/media/####/e596b215.bin
- /data/media/####/e89e8f8e.bin
- /data/media/####/e96d7bce.bin
- /data/media/####/ec1a7d82.bin
- /data/media/####/ec414999.bin
- /data/media/####/ed30a6d8.bin
- /data/media/####/ed816c4d.bin
- /data/media/####/ef719f94.bin
- /data/media/####/f080e274.bin
- /data/media/####/f3778d60.bin
- /data/media/####/f4577e68.bin
- /data/media/####/f7017ec3.bin
- /data/media/####/f86a757a.bin
- /data/media/####/f891cb36.bin
- /data/media/####/faa51e3b.bin
- /data/media/####/fb13441c.bin
- /data/media/####/fc899c4e.bin
- /data/media/####/journal.tmp
- /data/media/####/playable-core-v2-CBCloseButton--1136896784
- /data/media/####/scripts.hha
- /data/media/####/static-etna-366428459
- /data/media/####/video-v3_01--1545671357
- /data/misc/####/primary.prof
Другие:
Запускает следующие shell-скрипты:
- chmod 755 /data/user/0/<Package>/files/libjiagu.so
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о привязанных к устройству аккаунтах (Google, Facebook и т. д.).
Отрисовывает собственные окна поверх других приложений.
Запрашивает разрешение на отображение системных уведомлений.
