Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.exc.mob.com:80
- TCP(HTTP/1.1) cn-hang####.oss####.aliyun####.com:80
- TCP(TLS/1.0) sh.wagbr####.alibaba####.com:443
- TCP(TLS/1.0) bj-buss####.qhf####.com:443
- TCP(TLS/1.0) res####.a####.com:443
Запросы DNS:
- a####.exc.mob.com
- api.s####.mob.com
- bj-buss####.qhf####.com
- cn-hang####.oss####.aliyun####.com
- plb####.u####.com
- res####.a####.com
- u####.u####.com
Запросы HTTP GET:
- cn-hang####.oss####.aliyun####.com/amap-api/comm/upload/CoordinateSoEnhe...
Запросы HTTP POST:
- a####.exc.mob.com/errconf
- a####.exc.mob.com/errlog
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/.lock
- /data/data/####/12206904082321.0
- /data/data/####/1d2b904cbeadfb72ed9546111a231c85.0
- /data/data/####/73261657402560.0
- /data/data/####/82261460829893.0
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/ThrowalbeLog.db-journal
- /data/data/####/UM_PROBE_DATA.xml
- /data/data/####/a==7.4.4&&3.7.5_1531597001393_envelope.log
- /data/data/####/ad.xml
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/hmdb
- /data/data/####/hmdb-journal
- /data/data/####/i==1.2.0&&3.7.5_1531596995442_envelope.log
- /data/data/####/i==1.2.0&&3.7.5_1531597016281_envelope.log
- /data/data/####/i==1.2.0&&3.7.5_1531597037892_envelope.log
- /data/data/####/i==1.2.0&&3.7.5_1531597050429_envelope.log
- /data/data/####/info.xml
- /data/data/####/journal
- /data/data/####/journal.tmp
- /data/data/####/k.store
- /data/data/####/libjiagu-1255087820.so
- /data/data/####/libwgs2gcj.so
- /data/data/####/loctemp.so
- /data/data/####/logdb.db
- /data/data/####/logdb.db-journal
- /data/data/####/mob_sdk_exception_1.xml
- /data/data/####/multidex.version.xml
- /data/data/####/pref.xml
- /data/data/####/pref.xml.bak
- /data/data/####/qihoo_jiagu_crash_report.xml
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/um_pri.xml
- /data/data/####/umdat.xml
- /data/data/####/umeng_common_config.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/user_ec.xml
- /data/media/####/.a.dat
- /data/media/####/.adfwe.dat
- /data/media/####/.cca.dat
- /data/media/####/.dk
- /data/media/####/.lock
- /data/media/####/.umm.dat
- /data/media/####/1531596995667.db
- /data/media/####/1531597016737.db
- /data/media/####/1531597038380.db
- /data/media/####/1531597050771.db
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/alsn20170807.db
- /data/media/####/alsn20170807.db-journal
- /data/media/####/journal
- /data/media/####/journal.tmp
- /data/media/####/style.data
- /data/media/####/sysid.dat
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
- chmod 755 <Package Folder>/.jiagu/libjiagu-1255087820.so
- ls /
- ls /sys/class/thermal
Загружает динамические библиотеки:
- delta_update
- libjiagu-1255087820
- miu_enc
- neh
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- DES
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Отрисовывает собственные окна поверх других приложений.
