Android.Spy.5699

Техническая информация

Вредоносные функции:

Выполняет код следующих детектируемых угроз:

Android.Spy.5530

Сетевая активность:

Подключается к:

UDP(DNS) 8####.8.4.4:53
TCP(HTTP/1.1) amap####.cn-hang####.oss####.####.com:80
TCP(HTTP/1.1) res####.a####.com:80
TCP(HTTP/1.1) s####.j####.cn:80
TCP(TLS/1.0) 64.2####.165.94:443
TCP(TLS/1.0) rr12---####.g####.com:443
TCP(TLS/1.0) md####.google####.com:443
TCP(TLS/1.0) pla####.google####.com:443
TCP(TLS/1.0) a.apic####.com:443
TCP(TLS/1.0) 1####.194.220.95:443
TCP(TLS/1.2) 1####.194.220.95:443
TCP(TLS/1.2) 1####.177.14.113:443
TCP(TLS/1.2) 1####.194.163.27:443
TCP(TLS/1.2) 64.2####.165.94:443
TCP(TLS/1.2) 64.2####.165.113:443
TCP(TLS/1.2) res####.a####.com:443
UDP s.j####.cn:19000
UDP 1####.194.220.95:443
UDP md####.google####.com:443
TCP 1####.9.111.24:7006

Запросы DNS:

a.apic####.com
amap####.cn-hang####.oss####.####.com
and####.cli####.go####.com
api####.a####.com
app.kuk####.com.####.8
digital####.google####.com
md####.google####.com
pla####.google####.com
pla####.googleu####.com
res####.a####.com
rr12---####.g####.com
s####.j####.cn
s.j####.cn

Запросы HTTP GET:

amap####.cn-hang####.oss####.####.com/sdkcoor/android/armeabi-v7a/libJni...

Запросы HTTP POST:

a.apic####.com:443/AM_Service_API/StartupReport
res####.a####.com/v3/log/init
res####.a####.com:443/v3/config/resource
s####.j####.cn/v2/report

Изменения в файловой системе:

Создает следующие файлы:

/data/data/####/.APIcloud
/data/data/####/.jg.ic
/data/data/####/573596f009c7f1398fa6b7ab8a376bfb.jpg
/data/data/####/674d5843b60413b74af37b85e4e0f0b4.mp4
/data/data/####/Cookies-journal
/data/data/####/FNImageClip.html
/data/data/####/UzAppStorage.xml
/data/data/####/UzLocalStorage.xml
/data/data/####/WebViewChromiumPrefs.xml
/data/data/####/ajpush.setting.xml
/data/data/####/analytics_run_info.xml
/data/data/####/api.css
/data/data/####/api.js
/data/data/####/aui-dialog.js
/data/data/####/aui-iconfont.2.0.ttf
/data/data/####/aui-popup.js
/data/data/####/aui-pull-refresh.css
/data/data/####/aui-pull-refresh.js
/data/data/####/aui-range.js
/data/data/####/aui-scroll.js
/data/data/####/aui-skin-night.css
/data/data/####/aui-skin.css
/data/data/####/aui-skin.js
/data/data/####/aui-slide.css
/data/data/####/aui-slide.js
/data/data/####/aui-tab.js
/data/data/####/aui-toast.js
/data/data/####/aui.2.0.css
/data/data/####/aui_iconfont.ttf
/data/data/####/autosize.min.js
/data/data/####/avatar.jpg
/data/data/####/avatar1.jpg
/data/data/####/banner.jpg
/data/data/####/banner2.jpg
/data/data/####/ccd616915528caef654236064faa7c49.jpg
/data/data/####/classes.dex
/data/data/####/classes.oat
/data/data/####/classes2.dex
/data/data/####/cn.jpush.android.user.profile.xml
/data/data/####/cn.jpush.preferences.v2.xml
/data/data/####/cn.jpush.preferences.v2.xml.bak
/data/data/####/com.d941120299.rxt_preferences.xml
/data/data/####/config.xml
/data/data/####/d540782b080bc64ecfde66db52953418.jpg
/data/data/####/frame_article.html
/data/data/####/frame_article_list.html
/data/data/####/frame_auth.html
/data/data/####/frame_fankui.html
/data/data/####/frame_fans.html
/data/data/####/frame_follow.html
/data/data/####/frame_friend.html
/data/data/####/frame_homepage.html
/data/data/####/frame_homepage_post.html
/data/data/####/frame_jubao_article.html
/data/data/####/frame_jubao_article_comment.html
/data/data/####/frame_jubao_post.html
/data/data/####/frame_jubao_post_comment.html
/data/data/####/frame_msg.html
/data/data/####/frame_my.html
/data/data/####/frame_page.html
/data/data/####/frame_post.html
/data/data/####/frame_postadd.html
/data/data/####/frame_setup.html
/data/data/####/frame_shoucang.html
/data/data/####/frame_tongcheng.html
/data/data/####/frame_topic.html
/data/data/####/frame_topic_show.html
/data/data/####/frame_xunlian_dz.html
/data/data/####/frame_xunlian_dzlist.html
/data/data/####/frame_xunlian_dzshow.html
/data/data/####/frame_xunlian_myplancontent.html
/data/data/####/frame_xunlian_myplancontentlist.html
/data/data/####/frame_xunlian_myplanlist.html
/data/data/####/frame_xunlian_plan.html
/data/data/####/frame_xunlian_plancontent.html
/data/data/####/frame_xunlian_plancontentlist.html
/data/data/####/frame_xunlian_planlist.html
/data/data/####/frame_zan.html
/data/data/####/frame_zan_post.html
/data/data/####/group_faxian.html
/data/data/####/group_guanzhu.html
/data/data/####/group_index.html
/data/data/####/group_my.html
/data/data/####/group_new.html
/data/data/####/group_xunlian.html
/data/data/####/hmdb
/data/data/####/hmdb-journal
/data/data/####/icon150x150.png
/data/data/####/icon_bj.png
/data/data/####/icon_gj.png
/data/data/####/icon_grade_lv1.png
/data/data/####/icon_grade_lv10.png
/data/data/####/icon_grade_lv11.png
/data/data/####/icon_grade_lv12.png
/data/data/####/icon_grade_lv13.png
/data/data/####/icon_grade_lv14.png
/data/data/####/icon_grade_lv15.png
/data/data/####/icon_grade_lv16.png
/data/data/####/icon_grade_lv17.png
/data/data/####/icon_grade_lv18.png
/data/data/####/icon_grade_lv2.png
/data/data/####/icon_grade_lv3.png
/data/data/####/icon_grade_lv4.png
/data/data/####/icon_grade_lv5.png
/data/data/####/icon_grade_lv6.png
/data/data/####/icon_grade_lv7.png
/data/data/####/icon_grade_lv8.png
/data/data/####/icon_grade_lv9.png
/data/data/####/icon_jf.png
/data/data/####/icon_none.png
/data/data/####/icon_pop_0.png
/data/data/####/icon_pop_1.png
/data/data/####/icon_pop_qz_boy.png
/data/data/####/icon_pop_qz_girl.png
/data/data/####/icon_sc.png
/data/data/####/icon_sp.png
/data/data/####/icon_tk.png
/data/data/####/icon_xldz.png
/data/data/####/icon_ys.png
/data/data/####/icon_zf.png
/data/data/####/icon_zs.png
/data/data/####/icon_zx.png
/data/data/####/index
/data/data/####/index.html
/data/data/####/jQuery.artTxtCount.js
/data/data/####/journal
/data/data/####/jpush_device_info.xml
/data/data/####/jpush_local_notification.db
/data/data/####/jpush_local_notification.db-journal
/data/data/####/jpush_stat_cache_history.json
/data/data/####/jpush_statistics.db
/data/data/####/jpush_statistics.db-journal
/data/data/####/jquery.min.js
/data/data/####/kuke-default.css
/data/data/####/kuke-iconfont.ttf
/data/data/####/kukefit.db
/data/data/####/launch1080x1920.png
/data/data/####/libjiagu.so
/data/data/####/loading_more.gif
/data/data/####/loctemp.so
/data/data/####/logdb.db
/data/data/####/logdb.db-journal
/data/data/####/login.html
/data/data/####/lookthumb.html
/data/data/####/main.js
/data/data/####/metrics_guid
/data/data/####/nopic.png
/data/data/####/pic.jpg
/data/data/####/pic.psd
/data/data/####/pic_2.jpg
/data/data/####/pic_3.jpg
/data/data/####/pic_4.jpg
/data/data/####/pic_5.jpg
/data/data/####/pic_muscle.png
/data/data/####/plan.jpg
/data/data/####/post_at.html
/data/data/####/post_at_frame.html
/data/data/####/post_ht.html
/data/data/####/post_ht_frame.html
/data/data/####/pref.xml
/data/data/####/pref.xml.bak
/data/data/####/proc_auxv
/data/data/####/register.html
/data/data/####/search.html
/data/data/####/search_list.html
/data/data/####/set_age.html
/data/data/####/set_avatar.html
/data/data/####/set_avatar_frame.html
/data/data/####/set_birthday.html
/data/data/####/set_gender.html
/data/data/####/set_introduce.html
/data/data/####/set_mobile.html
/data/data/####/set_pwd.html
/data/data/####/set_pwd_frame.html
/data/data/####/set_rpwd.html
/data/data/####/set_username.html
/data/data/####/share_qqbtn.png
/data/data/####/share_qqzone.png
/data/data/####/share_wechatbtn.png
/data/data/####/share_wechatbtn2.png
/data/data/####/share_weicobtn.png
/data/data/####/sofa.png
/data/data/####/swiper-3.3.1.min.css
/data/data/####/swiper-3.3.1.min.js
/data/data/####/the-real-index
/data/data/####/topic.jpg
/data/data/####/v_big.png
/data/data/####/v_small.png
/data/data/####/vbg.png
/data/data/####/win_article.html
/data/data/####/win_article_list.html
/data/data/####/win_auth.html
/data/data/####/win_fankui.html
/data/data/####/win_fans.html
/data/data/####/win_follow.html
/data/data/####/win_friend.html
/data/data/####/win_homepage.html
/data/data/####/win_homepage_post.html
/data/data/####/win_jubao_article.html
/data/data/####/win_jubao_article_comment.html
/data/data/####/win_jubao_post.html
/data/data/####/win_jubao_post_comment.html
/data/data/####/win_msg.html
/data/data/####/win_my.html
/data/data/####/win_new.html
/data/data/####/win_page.html
/data/data/####/win_post.html
/data/data/####/win_postadd.html
/data/data/####/win_setup.html
/data/data/####/win_shoucang.html
/data/data/####/win_tongcheng.html
/data/data/####/win_topic.html
/data/data/####/win_topic_show.html
/data/data/####/win_url.html
/data/data/####/win_xunlian_dz.html
/data/data/####/win_xunlian_dzlist.html
/data/data/####/win_xunlian_dzshow.html
/data/data/####/win_xunlian_myplancontentlist.html
/data/data/####/win_xunlian_myplanlist.html
/data/data/####/win_xunlian_plan.html
/data/data/####/win_xunlian_plancontentlist.html
/data/data/####/win_xunlian_planlist.html
/data/data/####/win_zan.html
/data/data/####/win_zan_post.html
/data/media/####/.nomedia
/data/media/####/.push_deviceid
/data/misc/####/primary.prof

Другие:

Запускает следующие shell-скрипты:

chmod 755 /data/user/0/<Package>/files/libjiagu.so

Загружает динамические библиотеки:

libjiagu
libjpush206
libsec

Использует следующие алгоритмы для шифрования данных:

RSA-ECB-PKCS1Padding

Осуществляет доступ к приватному интерфейсу ITelephony.

Использует специальную библиотеку для скрытия исполняемого байт-кода.

Получает информацию о местоположении.

Получает информацию о сети.

Получает информацию о телефоне (номер, IMEI и т. д.).

Получает информацию об установленных приложениях.

Добавляет задания в системный планировщик.

Отрисовывает собственные окна поверх других приложений.

Управляет Wi-Fi-подключением.

Запрашивает разрешение на отображение системных уведомлений.

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней