Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) s29.9####.cn:80
- TCP(HTTP/1.1) pi####.qq.com:80
- TCP(TLS/1.0) s29.9####.cn:443
- TCP(TLS/1.0) res####.bx####.com:443
- TCP(TLS/1.0) ti####.bx####.com:443
Запросы DNS:
- pi####.qq.com
- res####.bx####.com
- s29.9####.cn
- ti####.bx####.com
Запросы HTTP GET:
- s29.9####.cn/attach/download/app/pic/34/263e75942427a37bce09d74518ff1abf...
- s29.9####.cn/attach/download/app/pic/5b/d16a9a11c771b954b5b983a33c2fc2f5...
- s29.9####.cn/attach/download/app/pic/65/8ddb18607be53db962c34b6127c13958...
- s29.9####.cn/attach/download/app/pic/ad/62e317fb8f68d4d29bddf421fcbc235c...
- s29.9####.cn/zhushou/attach/index/93/9368ccceb749b082622987d6b8a09646.png
Запросы HTTP POST:
- pi####.qq.com/mstat/report/?index=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/1607aa52c828ff7f0a4e298913fb47dd4780a1f928b3648....0.tmp
- /data/data/####/223af86a1f6f4a62cb0160b4dc75cae97d0c64d13bdf031....0.tmp
- /data/data/####/33a6eb2f066e02b6a97c2eec58e12aa82ef29dd370766e6....0.tmp
- /data/data/####/3cb899d50656323f1d1e3e6e130d246af2f568472ddc32f....0.tmp
- /data/data/####/4093ccb3e6cad23b172f57c05dbd551ca69d4ac5d631186....0.tmp
- /data/data/####/44259209b2abc8899565cc5b9dc782b5dc1ddc1b62847af....0.tmp
- /data/data/####/4d314c4f9bd1ce7a4c3f3b29a1f16b6937625c31f26f30f....0.tmp
- /data/data/####/54c79f91b04ea7e24e72b9f5a9f249a6673891650aa5b52....0.tmp
- /data/data/####/64d89712a5d558d4865d2290d9972b40b2e2a756d76c65e....0.tmp
- /data/data/####/7d6509944125cb575405a50823271c08463aa2fcc0ce5a9....0.tmp
- /data/data/####/82ad3e1936d7faf5109585af7e62978911167448a698204....0.tmp
- /data/data/####/86a2a608c4ef8628bfb6f47c9b65ab60dd37606a8db98bf....0.tmp
- /data/data/####/8f7efbfe26005c2441792c31865f24638e6f37264346c27....0.tmp
- /data/data/####/ApplicationCache.db-journal
- /data/data/####/QALConfigStore.dat
- /data/data/####/TLS_DEVICE_INFO.xml
- /data/data/####/WLOGIN_DEVICE_INFO.xml
- /data/data/####/a23b9542812b8092f131e3c42bd1a788da82a37548241f1....0.tmp
- /data/data/####/a727b64ab34fc963c13fdd617e28f20986d18c08ce7fb34....0.tmp
- /data/data/####/ac1b1a388f69300419b1e3ff1b12ba80187c1d2ade42c04....0.tmp
- /data/data/####/b4bfb5bf71604a2a02f954d5b9b52377f5765d88514e1ef....0.tmp
- /data/data/####/b5978bfadf8e7a46859372b3ab0574323e883e0cd7d5b97....0.tmp
- /data/data/####/b60a4a1fcdffb353cde282020359a3545f486d79bf9e8f2....0.tmp
- /data/data/####/b9e33d572e71de881bc5d07aee9aca912597428e0795f21....0.tmp
- /data/data/####/c381405252118e1f58a3465c8e787a72a24575cbb3ff811....0.tmp
- /data/data/####/c3b23d1ce652ac529a1d61c8a81159b73e7e1f3ccdfe040....0.tmp
- /data/data/####/c74241ad543f6654e751e332b681b04d06f9b6235338fd4....0.tmp
- /data/data/####/cb5e1cd2b6136d56ff3b39cf2115e94673c700c4f0fa841....0.tmp
- /data/data/####/com.bxd365.helper.mid.world.ro.xml
- /data/data/####/com.bxd365.helper_preferences.xml
- /data/data/####/d0a5035d9ca5da9142cef83e744bfc08be3f2e326c9affc....0.tmp
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/f1e5ec9c632d3bd91383ba92561b8e44755baf728e2aa8e....0.tmp
- /data/data/####/f325ef1a27913e7ce23322e3632d3ee6f22efc7b3045d4c....0.tmp
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/f_000004
- /data/data/####/f_000005
- /data/data/####/helper.db-journal
- /data/data/####/helper.xml
- /data/data/####/imei
- /data/data/####/index
- /data/data/####/journal.tmp
- /data/data/####/libjiagu-817253483.so
- /data/data/####/multidex.version.xml
- /data/data/####/pri_tencent_analysis.db_com.bxd365.helper-journal
- /data/data/####/report_v5.msgstore-journal
- /data/data/####/tencent_analysis.db_com.bxd365.helper-journal
- /data/data/####/tls_device.dat
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/wlogin_device.dat
- /data/media/####/app.18.08.30.12.log
- /data/media/####/imsdk_20180830.log
- /data/media/####/sdk.18.08.30.12.log
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
- chmod 755 <Package Folder>/.jiagu/libjiagu-817253483.so
Загружает динамические библиотеки:
- MtaNativeCrash_v2
- _imcore_jni_gyp
- libjiagu-817253483
- libwtcrypto
- qalcodecwrapper
- qalmsfboot
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
Осуществляет доступ к информации о телефонных контактах.
