Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Spy.5530
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(HTTP/1.1) www.6####.cn:8080
- TCP(HTTP/1.1) api.s####.mob.com:80
- TCP(HTTP/1.1) m.d####.mob.com:80
- TCP(HTTP/1.1) a####.exc.mob.com:80
- TCP(TLS/1.0) md####.google####.com:443
- TCP(TLS/1.0) www.6####.cn:443
- TCP(TLS/1.0) and####.google####.com:443
- TCP(TLS/1.0) pla####.google####.com:443
- TCP(TLS/1.2) md####.google####.com:443
- TCP(TLS/1.2) 2####.85.233.101:443
- TCP(TLS/1.2) 1####.177.14.94:443
- UDP and####.google####.com:443
- UDP md####.google####.com:443
Запросы DNS:
- a####.91.com
- a####.exc.mob.com
- a####.u####.com
- and####.b####.qq.com
- and####.google####.com
- api.s####.mob.com
- i####.6####.cn
- m####.go####.com
- m.d####.mob.com
- md####.google####.com
- pla####.google####.com
- www.6####.cn
Запросы HTTP GET:
- m.d####.mob.com/v2/cconf?appkey=####&plat=####&apppkg=####&appver=####&n...
- www.6####.cn:443/bqms/static/api/face/image/0B67E6EBFFA8012F53A02FEB3B73...
- www.6####.cn:443/bqms/static/api/face/image/25354DD9FFA8012F53A02FEBE63E...
- www.6####.cn:443/bqms/static/api/face/image/266185F1FFA8012F53A02FEB7810...
- www.6####.cn:443/bqms/static/api/face/image/26655AC6FFA8012F53A02FEB51F3...
- www.6####.cn:443/bqms/static/api/face/image/2666D2AAFFA8012F53A02FEB1785...
- www.6####.cn:443/bqms/static/api/face/image/46AD341FFFA8012F53A02FEB1C7E...
- www.6####.cn:443/bqms/static/api/face/image/6CCA190E7F0000010E4882543546...
- www.6####.cn:443/bqms/static/api/face/image/75682068FFA8012F53A02FEBB701...
- www.6####.cn:443/bqms/static/api/face/image/8D1EEC40FFA8012F53A02FEBAD4B...
- www.6####.cn:443/bqms/static/api/face/image/9116FD59FFA8012F53A02FEB1F8D...
- www.6####.cn:443/bqms/static/api/face/image/ADD1013AFFA8012F53A02FEBC146...
- www.6####.cn:443/bqms/static/api/face/image/B06BC3C47F0000010E488254C430...
- www.6####.cn:443/bqms/static/api/face/image/B06F94CA7F0000010E4882547077...
- www.6####.cn:443/bqms/static/api/face/image/BAC85282FFA8012F53A02FEBB8BB...
- www.6####.cn:443/bqms/static/api/face/image/C43657E8FFA8012F53A02FEB6CE4...
- www.6####.cn:443/bqms/static/api/face/image/D7691375FFA8012F53A02FEB9F2C...
- www.6####.cn:443/bqms/static/api/face/image/D88817A9FFA8012F53A02FEBEF0F...
- www.6####.cn:443/bqms/static/api/face/image/DAEC15F0FFA8012F53A02FEB0AB2...
- www.6####.cn:443/bqms/static/api/face/image/DDCE9FDAFFA8012F53A02FEB8D86...
- www.6####.cn:443/bqms/static/api/face/image/DDE1693EFFA8012F53A02FEBD6FA...
- www.6####.cn:443/bqms/static/api/face/image/DDE5C15AFFA8012F53A02FEB5340...
- www.6####.cn:443/bqms/static/api/face/image/E2904E8AFFA8012F53A02FEB3FD7...
Запросы HTTP POST:
- a####.exc.mob.com/errconf
- a####.u####.com/app_logs
- and####.b####.qq.com/rqd/async?aid=####
- api.s####.mob.com/conf5
- api.s####.mob.com/conn
- api.s####.mob.com/log4
- api.s####.mob.com/snsconf
- www.6####.cn:8080/bqms/api/v2/carousel
- www.6####.cn:8080/bqms/api/v2/face/new
- www.6####.cn:8080/bqms/api/v2/face/original
- www.6####.cn:8080/bqms/api/v2/getCountType
- www.6####.cn:8080/bqms/api/v2/getFacexbTop
- www.6####.cn:8080/bqms/api/v2/getInterest
- www.6####.cn:8080/bqms/api/v2/getInterestFace
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/.lock
- /data/data/####/.mrecord
- /data/data/####/.mrecord (deleted)
- /data/data/####/.mrlock
- /data/data/####/.statistics
- /data/data/####/0cc8003298ad2e35db97d44ba04dec536f647c1c8731c14...16a0.0
- /data/data/####/1004
- /data/data/####/1c5f194be31479676dc6fa6b4935483d8f7de82ac20a3cd....0.tmp
- /data/data/####/2b6b17fdf3cf2f8d1bdc4d7a159fe4a4476b85e5dfb4827....0.tmp
- /data/data/####/2b6b17fdf3cf2f8d1bdc4d7a159fe4a4476b85e5dfb4827...6c08.0
- /data/data/####/2d4097030eb0778a59e7ff9ea2a45fb5233b40bbbeb97cb....0.tmp
- /data/data/####/2d4097030eb0778a59e7ff9ea2a45fb5233b40bbbeb97cb...502d.0
- /data/data/####/40d5ed8687ca89618a67575167914cba43b3c1828404496...8086.0
- /data/data/####/44cc9d99ee6360798ac5a8aeaa496d036f8a4045c650de4....0.tmp
- /data/data/####/44cc9d99ee6360798ac5a8aeaa496d036f8a4045c650de4...74fe.0
- /data/data/####/55ee056386e0fd9b80cc252278e7bcbb46e2e8c9eae77b3...dafe.0
- /data/data/####/566f15b97e1c196a8c524b857a7077c6cc130acf4a96378...b342.0
- /data/data/####/5770da2b39605facadca8cb23d14928fb391f192e210206...leted)
- /data/data/####/70614761b995de6279a9c1c1805313a670b40b690b8d4b6....0.tmp
- /data/data/####/70614761b995de6279a9c1c1805313a670b40b690b8d4b6...8312.0
- /data/data/####/7242e8dea12be9f4147517ffb2524a275bdbd9004f6a04c...ed79.0
- /data/data/####/7833439adc119d964048b41818f23771da658c1e2e2fda8...79ae.0
- /data/data/####/815111e3a7662c7ed8cb62af47f529f681f0904f5b469eb....0.tmp
- /data/data/####/815111e3a7662c7ed8cb62af47f529f681f0904f5b469eb...leted)
- /data/data/####/983de7c5ac785d9096226cee90ca066fa431636109b159b....0.tmp
- /data/data/####/9f1bcc57e8573df93df7e550768dce679ca073cabaa4bce...c156.0
- /data/data/####/ACCS_SDK.xml
- /data/data/####/ACCS_SDK_CHANNEL.xml
- /data/data/####/Agoo_AppStore.xml
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/Cookies-journal
- /data/data/####/GAME87873.db-journal
- /data/data/####/MessageStore.db-journal
- /data/data/####/MsgLogStore.db-journal
- /data/data/####/ThrowalbeLog.db-journal
- /data/data/####/WebViewChromiumPrefs.xml
- /data/data/####/a9503b0d1f1bb74f5e1f42c3aade016f41d9bdd59912df6....0.tmp
- /data/data/####/a9503b0d1f1bb74f5e1f42c3aade016f41d9bdd59912df6...aa60.0
- /data/data/####/accs.db-journal
- /data/data/####/agoo.pid
- /data/data/####/app_storage.xml
- /data/data/####/bdp_pref.xml
- /data/data/####/bdp_pref.xml.bak
- /data/data/####/bugly_db_-journal
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/classes.dex
- /data/data/####/classes.oat
- /data/data/####/classes2.dex
- /data/data/####/crashrecord.xml
- /data/data/####/d784ba50d256923dba3cc124088f2509fff73c11913b8f8...7307.0
- /data/data/####/d9cc3effb87f73a069b8a7d0acbb0199d2361f14beb2009...07e0.0
- /data/data/####/e17244fd09b5a202ba743d572a94c2507d746e105f687d3....0.tmp
- /data/data/####/e17244fd09b5a202ba743d572a94c2507d746e105f687d3...18bf.0
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/f5339b54ab5f9fc44465b8e4ae7cb5c89dd2d19036c9b74...b51b.0
- /data/data/####/journal
- /data/data/####/libcuid.so
- /data/data/####/libjiagu.so
- /data/data/####/libtnet-3.1.7bk1.so
- /data/data/####/local_crash_lock
- /data/data/####/message_accs_db
- /data/data/####/message_accs_db-journal
- /data/data/####/mob_commons_1.xml
- /data/data/####/mob_sdk_exception_1.xml
- /data/data/####/mob_sdk_exception_1.xml.bak
- /data/data/####/proc_auxv
- /data/data/####/security_info
- /data/data/####/share_sdk_1.xml
- /data/data/####/sharesdk.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_general_config.xml.bak
- /data/data/####/umeng_it.cache
- /data/media/####/.al
- /data/media/####/.cuid2
- /data/media/####/.dh
- /data/media/####/.dh-journal
- /data/media/####/.dhlock
- /data/media/####/.dic_lock
- /data/media/####/.dk
- /data/media/####/.duid
- /data/media/####/.globalLock
- /data/media/####/.nulal
- /data/media/####/.nulplt
- /data/media/####/.pkg_lock
- /data/media/####/.rcTag
- /data/media/####/.rc_lock
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/inapp_20230806.log
- /data/misc/####/primary.prof
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop androVM.vbox_dpi
- /system/bin/sh -c getprop gsm.sim.state
- /system/bin/sh -c getprop gsm.sim.state2
- /system/bin/sh -c getprop qemu.sf.fake_camera
- /system/bin/sh -c getprop ro.aa.romver
- /system/bin/sh -c getprop ro.board.platform
- /system/bin/sh -c getprop ro.build.fingerprint
- /system/bin/sh -c getprop ro.build.nubia.rom.name
- /system/bin/sh -c getprop ro.build.rom.id
- /system/bin/sh -c getprop ro.build.tyd.kbstyle_version
- /system/bin/sh -c getprop ro.build.version.emui
- /system/bin/sh -c getprop ro.build.version.opporom
- /system/bin/sh -c getprop ro.debuggable
- /system/bin/sh -c getprop ro.genymotion.version
- /system/bin/sh -c getprop ro.gn.gnromvernumber
- /system/bin/sh -c getprop ro.lenovo.series
- /system/bin/sh -c getprop ro.lewa.version
- /system/bin/sh -c getprop ro.meizu.product.model
- /system/bin/sh -c getprop ro.miui.ui.version.name
- /system/bin/sh -c getprop ro.secure
- /system/bin/sh -c getprop ro.vivo.os.build.display.id
- /system/bin/sh -c type su
- app_process /system/bin com.android.commands.pm.Pm list packages
- cat /sys/class/net/wlan0/address
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- getprop androVM.vbox_dpi
- getprop gsm.sim.state
- getprop gsm.sim.state2
- getprop qemu.sf.fake_camera
- getprop ro.aa.romver
- getprop ro.board.platform
- getprop ro.build.fingerprint
- getprop ro.build.nubia.rom.name
- getprop ro.build.rom.id
- getprop ro.build.tyd.kbstyle_version
- getprop ro.build.version.emui
- getprop ro.build.version.opporom
- getprop ro.debuggable
- getprop ro.genymotion.version
- getprop ro.gn.gnromvernumber
- getprop ro.lenovo.series
- getprop ro.lewa.version
- getprop ro.meizu.product.model
- getprop ro.miui.ui.version.name
- getprop ro.secure
- getprop ro.vivo.os.build.display.id
- pm list packages
- sh
Загружает динамические библиотеки:
- libjiagu
- libtnet-3.1.7bk1
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-ECB-PKCS7Padding
- AES-GCM-NoPadding
- DESede-CBC-PKCS7Padding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-GCM-NoPadding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Запрашивает разрешение на отображение системных уведомлений.
