Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.RemoteCode.337.origin
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(TLS/1.0) pla####.google####.com:443
- TCP(TLS/1.0) and####.a####.go####.com:443
- TCP(TLS/1.0) and####.google####.com:443
- TCP(TLS/1.0) gmscomp####.google####.com:443
- TCP(TLS/1.2) 64.2####.161.94:443
- TCP(TLS/1.2) and####.google####.com:443
- TCP arm.lc####.cn:10018
- TCP arm.lc####.cn:10001
Запросы DNS:
- and####.a####.go####.com
- and####.google####.com
- arm.lc####.cn
- gmscomp####.google####.com
- m####.go####.com
- p####.google####.com
- pla####.google####.com
Изменения в файловой системе:
Создает следующие файлы:
- /data/dalvik-cache/####/system@framework@am.jar@classes.dex
- /data/dalvik-cache/####/system@framework@am.jar@classes.dex.flo...leted)
- /data/data/####/103.png
- /data/data/####/104.png
- /data/data/####/105.png
- /data/data/####/106.png
- /data/data/####/107.png
- /data/data/####/108.png
- /data/data/####/109.png
- /data/data/####/110.png
- /data/data/####/111.png
- /data/data/####/112.png
- /data/data/####/113.png
- /data/data/####/114.png
- /data/data/####/115.png
- /data/data/####/116.png
- /data/data/####/117.png
- /data/data/####/118.png
- /data/data/####/119.png
- /data/data/####/120.png
- /data/data/####/121.png
- /data/data/####/123.png
- /data/data/####/124.png
- /data/data/####/125.png
- /data/data/####/126.png
- /data/data/####/127.png
- /data/data/####/128.png
- /data/data/####/129.png
- /data/data/####/130.png
- /data/data/####/131.png
- /data/data/####/132.png
- /data/data/####/133.png
- /data/data/####/134.png
- /data/data/####/135.png
- /data/data/####/136.png
- /data/data/####/137.png
- /data/data/####/139.png
- /data/data/####/140.png
- /data/data/####/141.png
- /data/data/####/142.png
- /data/data/####/144.png
- /data/data/####/146.png
- /data/data/####/148.png
- /data/data/####/149.png
- /data/data/####/150.png
- /data/data/####/152.png
- /data/data/####/153.png
- /data/data/####/154.png
- /data/data/####/155.png
- /data/data/####/156.png
- /data/data/####/157.png
- /data/data/####/162.png
- /data/data/####/163.png
- /data/data/####/166.png
- /data/data/####/167.png
- /data/data/####/168.png
- /data/data/####/169.png
- /data/data/####/170.png
- /data/data/####/171.png
- /data/data/####/173.png
- /data/data/####/174.png
- /data/data/####/175.png
- /data/data/####/176.png
- /data/data/####/177.png
- /data/data/####/178.png
- /data/data/####/179.png
- /data/data/####/180.png
- /data/data/####/182.png
- /data/data/####/183.png
- /data/data/####/184.png
- /data/data/####/186.png
- /data/data/####/187.png
- /data/data/####/189.png
- /data/data/####/190.png
- /data/data/####/191.png
- /data/data/####/192.png
- /data/data/####/193.png
- /data/data/####/194.png
- /data/data/####/195.png
- /data/data/####/196.png
- /data/data/####/197.png
- /data/data/####/198.png
- /data/data/####/199.png
- /data/data/####/310.png
- /data/data/####/312.png
- /data/data/####/332.png
- /data/data/####/356.png
- /data/data/####/382.png
- /data/data/####/501.png
- /data/data/####/502.png
- /data/data/####/503.png
- /data/data/####/504.png
- /data/data/####/505.png
- /data/data/####/506.png
- /data/data/####/507.png
- /data/data/####/508.png
- /data/data/####/509.png
- /data/data/####/510.png
- /data/data/####/511.png
- /data/data/####/513.png
- /data/data/####/515.png
- /data/data/####/518.png
- /data/data/####/521.png
- /data/data/####/522.png
- /data/data/####/523.png
- /data/data/####/524.png
- /data/data/####/525.png
- /data/data/####/527.png
- /data/data/####/528.png
- /data/data/####/529.png
- /data/data/####/531.png
- /data/data/####/533.png
- /data/data/####/534.png
- /data/data/####/536.png
- /data/data/####/537.png
- /data/data/####/538.png
- /data/data/####/540.png
- /data/data/####/542.png
- /data/data/####/548.png
- /data/data/####/621.png
- /data/data/####/999.png
- /data/data/####/9999.png
- /data/data/####/SD
- /data/data/####/XF
- /data/data/####/classes.dex
- /data/data/####/classes.dex;classes2.dex
- /data/data/####/classes.oat
- /data/data/####/libjiagu.so
- /data/data/####/libjiagu_64.so
- /data/data/####/notice.xml
- /data/data/####/tp.zip
Другие:
Запускает следующие shell-скрипты:
- exit
- sh
- su
Загружает динамические библиотеки:
- libjiagu_64
Использует следующие алгоритмы для шифрования данных:
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- RSA-ECB-PKCS1Padding
Использует повышенные привилегии.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Отрисовывает собственные окна поверх других приложений.
Запрашивает разрешение на отображение системных уведомлений.
