Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) sdk.o####.p####.####.com:80
- TCP(HTTP/1.1) c-h####.g####.com:80
- TCP(HTTP/1.1) sni.c####.q####.####.net:80
- TCP(TLS/1.0) 2####.58.212.174:443
- TCP(TLS/1.0) sh.wagbr####.alibaba####.com:443
- TCP(TLS/1.0) w####.u51.com:443
- TCP(TLS/1.0) dc1.network####.com:443
- TCP(TLS/1.0) zhg.ali####.com:443
- TCP(TLS/1.0) c####.51zhan####.com:443
- TCP(TLS/1.0) ab.u####.com:443
- TCP(TLS/1.0) redi####.network####.com:443
- TCP(TLS/1.0) 51n####.u51.com:443
- TCP sdk.o####.t####.####.com:5224
- TCP c####.g####.ig####.com:5226
Запросы DNS:
- 51n####.u51.com
- 7j####.c####.z0.####.com
- a####.u51.com
- ab.u####.com
- c####.51zhan####.com
- c####.g####.ig####.com
- c-h####.g####.com
- dc1.network####.com
- mt####.go####.com
- no####.u51.com
- plb####.u####.com
- redi####.network####.com
- sdk.c####.ig####.com
- sdk.o####.p####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
- u####.u####.com
- w####.u51.com
- www.5####.com
- y####.al####.com
Запросы HTTP GET:
- sni.c####.q####.####.net/config/hz-hzv3.conf
- sni.c####.q####.####.net/tdata_Zvk544
- sni.c####.q####.####.net/tdata_iGj879
Запросы HTTP POST:
- c-h####.g####.com/api.php?format=####&t=####
- sdk.o####.p####.####.com/api.php?format=####&t=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/anr/traces.txt
- /data/com.enniu.fund/####/journal
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/0a231bd8575dcf72.txt
- /data/data/####/930a31b34bd52c08.lock
- /data/data/####/MultiDex.lock
- /data/data/####/NBSCrashStore.xml
- /data/data/####/Q0VSVC5SU0EK.txta54
- /data/data/####/SGMANAGER_DATA2.tmp
- /data/data/####/abTestConf.xml
- /data/data/####/b88167f74f093298fa9ab876b836e22d.0.tmp
- /data/data/####/com.enniu.fund_preferences.xml
- /data/data/####/com.networkbench.agent.impl.v2_com.enniu.fund.xml
- /data/data/####/common_log.xml
- /data/data/####/dc374f27dd9f7231
- /data/data/####/device_user_active_share_preference.xml
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/fire-eye-db-journal
- /data/data/####/getui_sp.xml
- /data/data/####/i==1.2.0&&7.0.1_1534439049894_envelope.log
- /data/data/####/info.xml
- /data/data/####/init.pid
- /data/data/####/init_c1.pid
- /data/data/####/journal
- /data/data/####/journal.tmp
- /data/data/####/libjiagu-1670702957.so
- /data/data/####/libsgmainso-5.3.38.so.tmp
- /data/data/####/libsgsecuritybodyso-5.3.27.so.tmp
- /data/data/####/libweexjsb.so
- /data/data/####/lock.lock
- /data/data/####/multidex.version.xml
- /data/data/####/nbsagent_preference_com.enniu.fund.xml
- /data/data/####/push.pid
- /data/data/####/pushsdk.db-journal
- /data/data/####/run.pid
- /data/data/####/sp.lock
- /data/data/####/u51_hybrid.xml
- /data/data/####/u51_superspeed.xml
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umdat.xml
- /data/data/####/umeng_common_config.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/media/####/.a.dat
- /data/media/####/.adfwe.dat
- /data/media/####/.cca.dat
- /data/media/####/.gzip
- /data/media/####/.nomedia
- /data/media/####/.umm.dat
- /data/media/####/90c5e4c54823efb44c3b969f74c3bfcd.0.tmp
- /data/media/####/DeviceId
- /data/media/####/com.enniu.fund.bin
- /data/media/####/dd7893586a493dc3
- /data/media/####/ecc18d0f-0370-42b6-9601-b114632ee7d2_1534439080657.gzip
- /data/media/####/journal
- /data/media/####/journal.tmp
- /data/media/####/log.txt
- /data/media/####/rpchannel_original
- /data/media/####/time.txt
- /data/media/####/tmplog_1534439080657_1534439085130.txt
- /drw/cmds/10043.2364.8a0f2373-f6fe-382e-949b-379b2ac245cf.stdout.txt
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
- chmod 755 <Package Folder>/.jiagu/libjiagu-1670702957.so
- chmod 777 <Package Folder>/files/dc374f27dd9f7231
- getprop ro.build.version.emui
- getprop ro.build.version.opporom
- getprop ro.flyme.published
- getprop ro.miui.ui.version.name
- getprop ro.smartisan.version
- getprop ro.vivo.os.version
- ls /sys/class/thermal
Загружает динамические библиотеки:
- PassGuard
- getuiext2
- libjiagu-1670702957
- sgmainso-5.3
- sgsecuritybodyso-5.3
- weexjsc
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS7Padding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
