Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.MulDrop.1140
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- UDP(DNS) 8####.8.4.4:53
- TCP(HTTP/1.1) c.appj####.com:80
- TCP(HTTP/1.1) c####.r####.com:80
- TCP(HTTP/1.1) v####.99w.net:80
- TCP(HTTP/1.1) pluto-v####.r####.com:80
- TCP(HTTP/1.1) www.sy####.com:80
- TCP(HTTP/1.1) g.appj####.com:80
- TCP(TLS/1.0) 1####.217.168.195:443
- TCP(TLS/1.0) ads-c####.r####.com:443
- TCP(TLS/1.0) and####.google####.com:443
- TCP(TLS/1.0) and####.cli####.go####.com:443
- TCP(TLS/1.0) d####.fl####.com:443
- TCP(TLS/1.0) 1####.250.179.138:443
- TCP(TLS/1.0) c####.r####.com:443
- TCP(TLS/1.0) i.sing####.net.####.net:443
- TCP(TLS/1.0) p####.google####.com:443
- TCP(TLS/1.0) safebro####.google####.com:443
- TCP(TLS/1.2) and####.cli####.go####.com:443
- TCP(TLS/1.2) 1####.250.179.138:443
- TCP(TLS/1.2) 1####.217.168.195:443
Запросы DNS:
- ads-c####.r####.com
- and####.cli####.go####.com
- and####.google####.com
- c####.r####.com
- c.appj####.com
- d####.fl####.com
- g.appj####.com
- i.sing####.net
- p####.google####.com
- pluto-v####.r####.com
- safebro####.google####.com
- v####.99w.net
- www.sy####.com
Запросы HTTP GET:
- c####.r####.com/content/embed/gameList/?d=####&p=####&a=####
- pluto-v####.r####.com/counter/2.0/
- v####.99w.net/sc/pojie/99wan_v3_pojie.apk
Запросы HTTP POST:
- c.appj####.com/ad/splash/stats.html
- d####.fl####.com:443/aap.do
- g.appj####.com/api/1/1/meterials
- www.sy####.com/Api.php/Home/Index/force
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.YFlurrySenderIndex.info.AnalyticsData_HUZ6QNPT...KG_234
- /data/data/####/.YFlurrySenderIndex.info.AnalyticsMain
- /data/data/####/.appInfo
- /data/data/####/.hptc_kache_grybirdsspaceHD
- /data/data/####/.jg.ic
- /data/data/####/.jgads.xml
- /data/data/####/.log.lock
- /data/data/####/.log.ls
- /data/data/####/.yflurrydatasenderblock.5bd224d5-e141-4eb9-b15c...5845de
- /data/data/####/.yflurryreport.b0da636473641d1
- /data/data/####/001d3ec58543b412_0
- /data/data/####/010dd27e7bea3c94ce715660d0d9722cba41090c.json
- /data/data/####/03dd8783a7ac48619a772b84b9ab585b7454e50cda8440b...56.png
- /data/data/####/03dd8783a7ac48619a772b84b9ab585b7454e50cda8440b...6.json
- /data/data/####/05d65fd9bf174756b5cd193e7f7a32e54a57f7c9687844a...56.png
- /data/data/####/05d65fd9bf174756b5cd193e7f7a32e54a57f7c9687844a...6.json
- /data/data/####/0867b2a7a95d438a9ecf6166e90bda29a8a62b068c4e47e...28.png
- /data/data/####/0867b2a7a95d438a9ecf6166e90bda29a8a62b068c4e47e...8.json
- /data/data/####/0fc4c57a4e1b45a5b5d29b70b08f495e4c37c7a123de46b...28.png
- /data/data/####/0fc4c57a4e1b45a5b5d29b70b08f495e4c37c7a123de46b...8.json
- /data/data/####/1382536.0669554481
- /data/data/####/1382536.0669554481 (deleted)
- /data/data/####/173B426092D74EA3EA96CA0BEE0577DDE25D0B5F.png.tmp
- /data/data/####/1d89f63f595e4b88a784edb608a1397393a60eda16e847e...56.png
- /data/data/####/1d89f63f595e4b88a784edb608a1397393a60eda16e847e...6.json
- /data/data/####/223b4bd501d9cf35_0
- /data/data/####/223b4bd501d9cf35_1
- /data/data/####/223b4bd501d9cf35_2
- /data/data/####/226d1cba6e264fe1b462af923c3c4f342f5ecc41709b415...56.png
- /data/data/####/226d1cba6e264fe1b462af923c3c4f342f5ecc41709b415...6.json
- /data/data/####/226d5343384cafbaff379b897f2f50e3da95f8b1.dat
- /data/data/####/2c8d93cf5dd50b145f24d2e4735370d23db5fea4.dat
- /data/data/####/37a3d5c68204842c_0
- /data/data/####/4235b2556018420ca3a920126478872bfdbacb4dda1d417...56.png
- /data/data/####/4235b2556018420ca3a920126478872bfdbacb4dda1d417...6.json
- /data/data/####/48188231f7984cbeabc674894a5a660722e36f4301b94ef...56.png
- /data/data/####/48188231f7984cbeabc674894a5a660722e36f4301b94ef...6.json
- /data/data/####/4824042e64af44b588d94bf643e69b7302c32ee5ac7443a...28.png
- /data/data/####/4824042e64af44b588d94bf643e69b7302c32ee5ac7443a...56.png
- /data/data/####/4824042e64af44b588d94bf643e69b7302c32ee5ac7443a...6.json
- /data/data/####/4824042e64af44b588d94bf643e69b7302c32ee5ac7443a...8.json
- /data/data/####/4b3760f64cd0a2ce_0
- /data/data/####/4b3760f64cd0a2ce_1
- /data/data/####/4b3760f64cd0a2ce_2
- /data/data/####/4c5b4f35b24ee7f3_0
- /data/data/####/58531af386eb54d0_0
- /data/data/####/5af39cdc49e847ef8f5280468864eb3432b0579101d6413...56.png
- /data/data/####/5af39cdc49e847ef8f5280468864eb3432b0579101d6413...6.json
- /data/data/####/5f8eedbfc916835c_0
- /data/data/####/605ddce99ed84fa2a4b2679050683aa021911d74152f4fd...28.png
- /data/data/####/605ddce99ed84fa2a4b2679050683aa021911d74152f4fd...8.json
- /data/data/####/61722526A1ACF6F7831DA3F88A1076CE77917CCB.jpg
- /data/data/####/6690583272af41ea8ac1d762ff59de4d081f8c83d150424...28.png
- /data/data/####/6690583272af41ea8ac1d762ff59de4d081f8c83d150424...8.json
- /data/data/####/66a7641e038fe91125eaab2714d17cb27e81c57a.png
- /data/data/####/70ac87d91d7c473499ae344ae64f5595f5863a92872d47f...56.png
- /data/data/####/70ac87d91d7c473499ae344ae64f5595f5863a92872d47f...6.json
- /data/data/####/786808d717b36481_0
- /data/data/####/786808d717b36481_1
- /data/data/####/786808d717b36481_2
- /data/data/####/78691dab9a5c4c38af0d1086d805cd956d5aab954c904cc...56.png
- /data/data/####/78691dab9a5c4c38af0d1086d805cd956d5aab954c904cc...6.json
- /data/data/####/7957960deea37cd1d5ef3229433323d66fa3a2da.png
- /data/data/####/82e58f5fd3d9e9e48e8e8fa734df859f5807cab1.png
- /data/data/####/82fb6d9b7cc7cde2_0
- /data/data/####/82fb6d9b7cc7cde2_1
- /data/data/####/82fb6d9b7cc7cde2_2
- /data/data/####/85bc2ec9ce4e46dd9d77f4236e66cacc12b42c37b9f1464...28.png
- /data/data/####/85bc2ec9ce4e46dd9d77f4236e66cacc12b42c37b9f1464...8.json
- /data/data/####/8c7300beddfcbaefcd5343d9d9b93de9a5bdb51c.png
- /data/data/####/8ea162cbc571614f_0
- /data/data/####/8ea162cbc571614f_1
- /data/data/####/8ea162cbc571614f_2
- /data/data/####/92fd2e6aa59c4985a5fd4b7a696dd02f00af6c13dc6b466...56.png
- /data/data/####/92fd2e6aa59c4985a5fd4b7a696dd02f00af6c13dc6b466...6.json
- /data/data/####/96c370081d024308bb5ee45eac5c2f27616ae87fbda9473...56.png
- /data/data/####/96c370081d024308bb5ee45eac5c2f27616ae87fbda9473...6.json
- /data/data/####/B90993A6EA6D7EFE89F4A933CD9D95032B2C6DCA.tmp
- /data/data/####/Cookies
- /data/data/####/Cookies-journal
- /data/data/####/FLURRY_SHARED_PREFERENCES.xml
- /data/data/####/UI.xml
- /data/data/####/Web Data
- /data/data/####/Web Data-journal
- /data/data/####/WebViewChromiumPrefs.xml
- /data/data/####/ab7c40c421c04909_0
- /data/data/####/b2cad4dec18744688c5e113f0c3396c3eec10d0b04784de...8.json
- /data/data/####/b2cad4dec18744688c5e113f0c3396c3eec10d0b04784de...ng.tmp
- /data/data/####/b5f195733027469884d5d00ddeae2c285806d139e45e49e...28.png
- /data/data/####/b5f195733027469884d5d00ddeae2c285806d139e45e49e...56.png
- /data/data/####/b5f195733027469884d5d00ddeae2c285806d139e45e49e...6.json
- /data/data/####/b5f195733027469884d5d00ddeae2c285806d139e45e49e...8.json
- /data/data/####/ba2edf568eca4c9791275543ec5b1cd8b3660649caf844b...28.png
- /data/data/####/ba2edf568eca4c9791275543ec5b1cd8b3660649caf844b...8.json
- /data/data/####/baa23360c1ecc35f_0
- /data/data/####/baa23360c1ecc35f_1
- /data/data/####/baa23360c1ecc35f_2
- /data/data/####/bi_data.lua
- /data/data/####/bi_data.lua.tmp
- /data/data/####/c1e389935ca06990_0
- /data/data/####/c3f36cab5d9050be_0
- /data/data/####/cacert.pem
- /data/data/####/cacert.pem.tmp
- /data/data/####/catalog.json
- /data/data/####/catalog.json.tmp
- /data/data/####/ce02a66eac62408eafe23b4db139264a9d815b9e265043c...56.png
- /data/data/####/ce02a66eac62408eafe23b4db139264a9d815b9e265043c...6.json
- /data/data/####/channel.data
- /data/data/####/channel.json
- /data/data/####/classes.dex
- /data/data/####/classes2.dex
- /data/data/####/com.google.android.gcm.xml
- /data/data/####/com.rovio.angrybirdsspaceHD_preferences.xml
- /data/data/####/d3ee54ed013d40e2baf8e7ac5f9952ff9dcf92b820004d7...28.png
- /data/data/####/d3ee54ed013d40e2baf8e7ac5f9952ff9dcf92b820004d7...8.json
- /data/data/####/eaglepurchases.lua
- /data/data/####/ec7a331eb73c362cb8dc4bcc840dd15a4dbc3d41.json
- /data/data/####/episodepurchases.lua
- /data/data/####/fb519a11e53cb3c6_0
- /data/data/####/fb519a11e53cb3c6_1
- /data/data/####/fb519a11e53cb3c6_2
- /data/data/####/fusion.registry
- /data/data/####/fusion.registry.tmp
- /data/data/####/gamepurchases.lua
- /data/data/####/highscores.lua
- /data/data/####/index
- /data/data/####/jg_app_update_settings_random.xml
- /data/data/####/libjiagu.so
- /data/data/####/metrics_guid
- /data/data/####/proc_auxv
- /data/data/####/qihoo_jiagu_crash_report.xml
- /data/data/####/rcs_analog.pb
- /data/data/####/savegame.xml
- /data/data/####/settings.lua
- /data/data/####/settings.lua.tmp
- /data/data/####/the-real-index
- /data/data/####/vqs_shared_data.xml
- /data/data/####/xUtils_http_cache.db
- /data/data/####/xUtils_http_cache.db-journal
- /data/data/####/xUtils_http_cache.db-journal (deleted)
- /data/data/####/xUtils_http_cache.db-shm
- /data/data/####/xUtils_http_cache.db-wal
- /data/data/####/xUtils_http_cookie.db
- /data/data/####/xUtils_http_cookie.db-journal
- /data/data/####/xUtils_http_cookie.db-journal (deleted)
- /data/data/####/xUtils_http_cookie.db-shm
- /data/data/####/xUtils_http_cookie.db-wal
- /data/media/####/jjwgame.apk
- /data/media/####/jjwgame.apk.tmp
- /data/misc/####/primary.prof
Другие:
Запускает следующие shell-скрипты:
- chmod 755 /data/user/0/<Package>/.jiagu/libjiagu.so
Загружает динамические библиотеки:
- libAngryBirdsSpace
- libjiagu
Использует следующие алгоритмы для шифрования данных:
- RSA
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Отрисовывает собственные окна поверх других приложений.
Запрашивает разрешение на отображение системных уведомлений.
