Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Xiny.84.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) na61-####.wagbr####.ali####.####.com:80
- TCP(HTTP/1.1) 2####.119.128.207:80
- TCP(HTTP/1.1) log.mm####.com:80
- TCP(HTTP/1.1) hk.wagbr####.non####.####.com:80
- TCP(HTTP/1.1) h5.m.ta####.com:80
- TCP(HTTP/1.1) a.t####.cn:80
- TCP(HTTP/1.1) img.al####.com:80
- TCP(HTTP/1.1) 1####.205.143.143:80
- TCP(HTTP/1.1) www.boke####.com:8000
- TCP(HTTP/1.1) j####.wx.ja####.com:80
- TCP(HTTP/1.1) a####.m.ta####.com:80
- TCP(SSL/3.0) gm.mm####.com:443
- TCP(TLS/1.0) ironban####.m.ta####.com:443
- TCP(TLS/1.0) us-aebr####.ali####.com:443
- TCP(TLS/1.0) h5.m.ta####.com:443
- TCP(TLS/1.0) gm.mm####.com:443
- TCP(TLS/1.0) regi####.xm####.xi####.com:443
- TCP(TLS/1.0) pco####.ta####.com:443
- TCP(TLS/1.0) g.al####.com:443
- TCP(TLS/1.0) img.al####.com:443
- TCP(TLS/1.0) log.mm####.com:443
Запросы DNS:
- a####.m.ta####.com
- a.t####.cn
- fou####.ali####.com
- g.al####.com
- gm.mm####.com
- gt####.al####.com
- h####.m.ta####.com
- h5.m.ta####.com
- img.al####.com
- j####.wx.ja####.com
- l####.m.ta####.com
- log.mm####.com
- pco####.ta####.com
- regi####.xm####.xi####.com
- wb.110.ta####.com
- www.boke####.com
- y####.al####.com
Запросы HTTP GET:
- a.t####.cn/s/aplus_wap.js
- a.t####.cn/tps/i3/TB1HgYqFVXXXXayXpXXMqSxTXXX-200-800.png
- h5.m.ta####.com/mlapp/olist.html?tabCode=####&umpChannel=####&u_channel=...
- hk.wagbr####.non####.####.com/m/um.htm?c={"ser####
- img.al####.com/cm/havana-bridge/0.1.5/index.css
- img.al####.com/cm/havana-bridge/0.1.5/index.js
- img.al####.com/cm/havana-bridge/0.1.5/zepto.js
- img.al####.com/cm/havana-bridge/0.1.8/havanabridge.js
- img.al####.com/secdev/entry/index.js
- img.al####.com/secdev/sufei_data/3.8.7/index.js
- j####.wx.ja####.com/atbCategorysGet
- log.mm####.com/m.gif?cna=JkHpFi7iq2YCAV/TvsfqHqbe&logtype=1&title=%u767B...
- na61-####.wagbr####.ali####.####.com/oauth_native.htm?appKey=####&ttid=#...
- www.boke####.com:8000/api/listening?deviceType=####&sw=####&sh=####&v=##...
- www.boke####.com:8000/api/pubinfo?channel=####&version=####&imei=####
Запросы HTTP POST:
- a####.m.ta####.com/rest/gc?dd=####&nsgs=####&ak=####&av=####&c=####&v=##...
- a####.m.ta####.com/rest/sur?ak=####&av=####&c=####&v=####&s=####&d=####&...
- hk.wagbr####.non####.####.com/saveWb.json
- na61-####.wagbr####.ali####.####.com/api/update.do
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/0a231bd8575dcf72.txt
- /data/data/####/1583502078713.pluginlist
- /data/data/####/1d77ea041509fe06.lock
- /data/data/####/49814c4f5ac2f2f9.lock
- /data/data/####/ALIBABA_SDK_DYNAMIC_CONFIG.xml
- /data/data/####/Alvin2.xml
- /data/data/####/ApplicationCache.db-journal
- /data/data/####/ContextData.xml
- /data/data/####/SGMANAGER_DATA.xml
- /data/data/####/UTCommon.xml
- /data/data/####/UTMCConf-1025241036.xml
- /data/data/####/UTMCConf-62676971.xml
- /data/data/####/UTMCConf-88980319.xml
- /data/data/####/UTMCLog-1025241036.xml
- /data/data/####/UTMCLog-62676971.xml
- /data/data/####/UTMCLog-88980319.xml
- /data/data/####/aduit_switch_stroge.xml
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/f_000004
- /data/data/####/imei.xml
- /data/data/####/index
- /data/data/####/libjiagu.so
- /data/data/####/libsecuritysdkx-3.1.27.so.tmp
- /data/data/####/mipush.xml
- /data/data/####/mipush_extra.xml
- /data/data/####/multidex.version.xml
- /data/data/####/onesdk_device.xml
- /data/data/####/onesdk_hotpatch.xml
- /data/data/####/sp.lock
- /data/data/####/umeng_general_config.xml
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/6c709c11d2d46a7b
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/dd7893586a493dc3
- /data/media/####/log.lock
- /data/media/####/log1.txt
- /data/media/####/tlog_20200306.tlog
Другие:
Запускает следующие shell-скрипты:
- cat /proc/cpuinfo | grep Serial
- chmod 755 <Package Folder>/files/libjiagu.so
- getprop ro.product.cpu.abi
- ls -l /system/xbin/su
Загружает динамические библиотеки:
- inet.2.0
- libjiagu
- securitysdk-3.1
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
