Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) nav.cn.ron####.com:80
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(HTTP/1.1) sdk.o####.p####.####.com:80
- TCP(TLS/1.0) ssl.gst####.com:443
- TCP(TLS/1.0) www.go####.com:443
- TCP(TLS/1.0) j####.d####.com:443
- TCP(TLS/1.0) av1.x####.com:443
- TCP(TLS/1.0) acco####.go####.com:443
- TCP(TLS/1.0) www.go####.nl:443
- TCP(TLS/1.0) c####.x####.com:443
- TCP(TLS/1.0) www.gst####.com:443
- TCP(TLS/1.0) adser####.go####.com:443
- TCP(TLS/1.0) s####.cn.ron####.com:443
- TCP 1####.92.22.251:8626
Запросы DNS:
- acco####.go####.com
- adser####.go####.com
- and####.b####.qq.com
- av1.x####.com
- c####.x####.com
- c####.x####.com
- f####.gst####.com
- i.t####.com
- j####.d####.com
- nav.cn.ron####.com
- s####.cn.ron####.com
- sdk.o####.p####.####.com
- ssl.gst####.com
- www.go####.com
- www.go####.nl
- www.gst####.com
Запросы HTTP POST:
- and####.b####.qq.com/rqd/async?aid=####
- nav.cn.ron####.com/navipush.json
- sdk.o####.p####.####.com/api.php?format=####&t=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/000001.dbtmp
- /data/data/####/000002.dbtmp
- /data/data/####/1004
- /data/data/####/1538138261834_2277
- /data/data/####/1538138263004_2277
- /data/data/####/1538138264172_2277
- /data/data/####/1538138264927_2347
- /data/data/####/1538138265129_2277
- /data/data/####/1538138265534_2347
- /data/data/####/1538138265547_2277
- /data/data/####/1538138265900_2347
- /data/data/####/1538138266414_2277
- /data/data/####/1538138266473_2368
- /data/data/####/1538138267013_2368
- /data/data/####/1538138267201_2368
- /data/data/####/1538138268764_2277
- /data/data/####/1538138269039_2277
- /data/data/####/1538138270389_2277
- /data/data/####/1538138271554_2277
- /data/data/####/1538138273497_2277
- /data/data/####/1538138273864_2277
- /data/data/####/1538138322175_2277
- /data/data/####/1538138323872_2347
- /data/data/####/1538138324271_2368
- /data/data/####/1538138326709_2277
- /data/data/####/Archimedes_p4
- /data/data/####/Archimedes_p5
- /data/data/####/COUNTLY_STORE.xml
- /data/data/####/FwLog.xml
- /data/data/####/INSTALLATION
- /data/data/####/MANIFEST-000001
- /data/data/####/Pythagoras_phase.xml
- /data/data/####/RongPush.xml
- /data/data/####/RongPushAppConfig.xml
- /data/data/####/STACK_ACTIVITY.xml
- /data/data/####/Statistics.xml
- /data/data/####/TDCloudSettingsConfig463D49B5213A0224599EE7B475E1D593.xml
- /data/data/####/TD_app_pefercen_profile.xml
- /data/data/####/TDpref_cloudcontrol1.xml
- /data/data/####/TDpref_longtime.xml
- /data/data/####/TDpref_longtime0.xml
- /data/data/####/TDpref_shorttime.xml
- /data/data/####/TDpref_shorttime0.xml
- /data/data/####/add-city-list.69d08ebd9812879a3ded6a8d8b106adc-one.css
- /data/data/####/add-city-list.a6a11beef686f38f3440.js
- /data/data/####/add-city-list.html
- /data/data/####/add-other-cert.a6a11beef686f38f3440.js
- /data/data/####/add-other-cert.b0ff9d879bd32e271badb7ebdd6a479b-one.css
- /data/data/####/add-other-cert.html
- /data/data/####/addworkplace.9065b9693e1edcdf808b4d89d5b29f9b-one.css
- /data/data/####/addworkplace.a6a11beef686f38f3440.js
- /data/data/####/addworkplace.html
- /data/data/####/agreement.1c40f51aed1ae45c35db6cc5519422fd-one.css
- /data/data/####/agreement.a6a11beef686f38f3440.js
- /data/data/####/agreement.html
- /data/data/####/alipay-result.a6a11beef686f38f3440.js
- /data/data/####/alipay-result.e4eba7cc5d67bfb0f01b739d81d424d0-one.css
- /data/data/####/alipay-result.html
- /data/data/####/alipayinfo.7f715a17b5c01f962460be809515e618-one.css
- /data/data/####/alipayinfo.a6a11beef686f38f3440.js
- /data/data/####/alipayinfo.html
- /data/data/####/applydetail.a6a11beef686f38f3440.js
- /data/data/####/applydetail.a71286d44655c00562b295f52668f200-one.css
- /data/data/####/applydetail.html
- /data/data/####/applylist.a6a11beef686f38f3440.js
- /data/data/####/applylist.fbb246ac75f661a7894235b75402280f-one.css
- /data/data/####/applylist.html
- /data/data/####/auditing.a6a11beef686f38f3440.js
- /data/data/####/auditing.fa163b91ada075cc27cfa62d30f85b98-one.css
- /data/data/####/auditing.html
- /data/data/####/b_speed_icon.png
- /data/data/####/bg_status.png
- /data/data/####/bind-account.a6a11beef686f38f3440.js
- /data/data/####/bind-account.ca4a35fd71ddafb297ec661f3d6c4e19-one.css
- /data/data/####/bind-account.html
- /data/data/####/bind-phone-num.a6a11beef686f38f3440.js
- /data/data/####/bind-phone-num.c6bfd61b785b80b19d5a7399b1af0367-one.css
- /data/data/####/bind-phone-num.html
- /data/data/####/bugly_db_-journal
- /data/data/####/bundle.js
- /data/data/####/cache.manifest
- /data/data/####/cert-list.89d6769c9575ff3a99dedaa8c70d7792-one.css
- /data/data/####/cert-list.a6a11beef686f38f3440.js
- /data/data/####/cert-list.html
- /data/data/####/certifi_icon.png
- /data/data/####/certifi_pass_mask.png
- /data/data/####/city.371e0abf363bb7174e916a9155b3ff3e-one.css
- /data/data/####/city.a6a11beef686f38f3440.js
- /data/data/####/city.html
- /data/data/####/com.doumi.bclient_preferences.xml
- /data/data/####/common-language.8282a96f82192bd34e14c80d783f5215-one.css
- /data/data/####/common-language.a6a11beef686f38f3440.js
- /data/data/####/common-language.html
- /data/data/####/company-cert-detail.a6a11beef686f38f3440.js
- /data/data/####/company-cert-detail.c6cf3f22adb0c02e96b2c99d185...ne.css
- /data/data/####/company-cert-detail.html
- /data/data/####/company-cert.56aacb8b7aa4c57ac8bab74f6686f0f8-one.css
- /data/data/####/company-cert.a6a11beef686f38f3440.js
- /data/data/####/company-cert.html
- /data/data/####/companyinfo-edit.2a214ed23064a3872e474ce7b4c62919-one.css
- /data/data/####/companyinfo-edit.a6a11beef686f38f3440.js
- /data/data/####/companyinfo-edit.html
- /data/data/####/crashrecord.xml
- /data/data/####/deposit-detail.72722698fe4b88535f29724a0ced1d69-one.css
- /data/data/####/deposit-detail.a6a11beef686f38f3440.js
- /data/data/####/deposit-detail.html
- /data/data/####/deposit-info.871109f1a132a5cdbc2d0eb275185b85-one.css
- /data/data/####/deposit-info.a6a11beef686f38f3440.js
- /data/data/####/deposit-info.html
- /data/data/####/detail-hotpot.26f56f99a99eaa9b5b67502abf7b9a18-one.css
- /data/data/####/detail-hotpot.a6a11beef686f38f3440.js
- /data/data/####/detail-hotpot.html
- /data/data/####/detail.249a9fa662e999e8a5d6f27e884c9219-one.css
- /data/data/####/detail.a6a11beef686f38f3440.js
- /data/data/####/detail.html
- /data/data/####/dmdid
- /data/data/####/domSetting
- /data/data/####/enter1.png
- /data/data/####/enterprise-rank.071fa7437c9bc56c7233ac03f5b0a519-one.css
- /data/data/####/enterprise-rank.a6a11beef686f38f3440.js
- /data/data/####/enterprise-rank.html
- /data/data/####/evaluate.1d6d13e47eee629a295f3c8f7eeb6a92-one.css
- /data/data/####/evaluate.a6a11beef686f38f3440.js
- /data/data/####/evaluate.html
- /data/data/####/everyday-task.a6a11beef686f38f3440.js
- /data/data/####/everyday-task.d9157baa543327ad0546cca13c51d110-one.css
- /data/data/####/everyday-task.html
- /data/data/####/f1e5994e2a5f4dbe680c.worker.js
- /data/data/####/fe5312fdbe923e425eb3.worker.js
- /data/data/####/feedback.695bbbfd5adac44c0fca711ca11b85af-one.css
- /data/data/####/feedback.a6a11beef686f38f3440.js
- /data/data/####/feedback.html
- /data/data/####/forget-pwd.a6a11beef686f38f3440.js
- /data/data/####/forget-pwd.b38752f55526c8ec655f092930693bc9-one.css
- /data/data/####/forget-pwd.html
- /data/data/####/fulltimejob.98df4c7cf2af63858f7d56fabec59508-one.css
- /data/data/####/fulltimejob.a6a11beef686f38f3440.js
- /data/data/####/fulltimejob.html
- /data/data/####/getcaptchaway.a6a11beef686f38f3440.js
- /data/data/####/getcaptchaway.abbac59518324660e45286975595ac19-one.css
- /data/data/####/getcaptchaway.html
- /data/data/####/getui_sp.xml
- /data/data/####/ico_level.png
- /data/data/####/icon.png
- /data/data/####/icon_deliver.png
- /data/data/####/icon_detail.png
- /data/data/####/icon_form.png
- /data/data/####/icon_list.png
- /data/data/####/icon_merchant_v2.png
- /data/data/####/icon_type.png
- /data/data/####/imkit.db-journal
- /data/data/####/init_c1.pid
- /data/data/####/init_er.pid
- /data/data/####/integral.05e85e5884ae1d7353bc3a2addf3b448-one.css
- /data/data/####/integral.a6a11beef686f38f3440.js
- /data/data/####/integral.html
- /data/data/####/inv_icon.png
- /data/data/####/inv_prize.png
- /data/data/####/invite-prize.9f698e178344a98367ce36540551940d-one.css
- /data/data/####/invite-prize.a6a11beef686f38f3440.js
- /data/data/####/invite-prize.html
- /data/data/####/jianZhi.xml
- /data/data/####/job-status.055c497fa8ad04ff21f011e0b185934b-one.css
- /data/data/####/job-status.a6a11beef686f38f3440.js
- /data/data/####/job-status.html
- /data/data/####/jobdescription.a6a11beef686f38f3440.js
- /data/data/####/jobdescription.f25a3b2c4dcbb0d30823dd3486f4263e-one.css
- /data/data/####/jobdescription.html
- /data/data/####/joblist.9bac5d4ec48d0409ec19c0cf1456e1c7-one.css
- /data/data/####/joblist.a6a11beef686f38f3440.js
- /data/data/####/joblist.html
- /data/data/####/ker.db-journal
- /data/data/####/leave-message.8282a96f82192bd34e14c80d783f5215-one.css
- /data/data/####/leave-message.a6a11beef686f38f3440.js
- /data/data/####/leave-message.html
- /data/data/####/libjiagu1769550344.so
- /data/data/####/local_crash_lock
- /data/data/####/login_guide_bg.png
- /data/data/####/logo_app.png
- /data/data/####/mPBE.xml
- /data/data/####/main.dek
- /data/data/####/manage_msg_icon.png
- /data/data/####/massmsg-detail.a6a11beef686f38f3440.js
- /data/data/####/massmsg-detail.c50158ca96a4e6cb8528afc39ad21b61-one.css
- /data/data/####/massmsg-detail.html
- /data/data/####/massmsg-list.a6a11beef686f38f3440.js
- /data/data/####/massmsg-list.c50158ca96a4e6cb8528afc39ad21b61-one.css
- /data/data/####/massmsg-list.html
- /data/data/####/massmsg-send.a6a11beef686f38f3440.js
- /data/data/####/massmsg-send.c50158ca96a4e6cb8528afc39ad21b61-one.css
- /data/data/####/massmsg-send.html
- /data/data/####/merchant.695bbbfd5adac44c0fca711ca11b85af-one.css
- /data/data/####/merchant.a6a11beef686f38f3440.js
- /data/data/####/merchant.html
- /data/data/####/message-detail.207ef3891340b1301c1fd2098a8988fb-one.css
- /data/data/####/message-detail.a6a11beef686f38f3440.js
- /data/data/####/message-detail.html
- /data/data/####/message-list.03270dda64fd5db1159ae91cf1044951-one.css
- /data/data/####/message-list.a6a11beef686f38f3440.js
- /data/data/####/message-list.html
- /data/data/####/modify-pay-price.9568085f1f3b3e18ab6a13477c23496d-one.css
- /data/data/####/modify-pay-price.a6a11beef686f38f3440.js
- /data/data/####/modify-pay-price.html
- /data/data/####/msg-sys-list.a6a11beef686f38f3440.js
- /data/data/####/msg-sys-list.cd2cfac27c226d337507de4baae37870-one.css
- /data/data/####/msg-sys-list.html
- /data/data/####/multidex.version.xml
- /data/data/####/my-message.8b32ee33c5c4e413eb4c5bf5611e1070-one.css
- /data/data/####/my-message.a6a11beef686f38f3440.js
- /data/data/####/my-message.html
- /data/data/####/my-wallet.a6a11beef686f38f3440.js
- /data/data/####/my-wallet.de937efd86600376e64b70fd0e25f848-one.css
- /data/data/####/my-wallet.html
- /data/data/####/newbie-task.a6a11beef686f38f3440.js
- /data/data/####/newbie-task.d9157baa543327ad0546cca13c51d110-one.css
- /data/data/####/newbie-task.html
- /data/data/####/noList.png
- /data/data/####/other-cert-type-list.a6a11beef686f38f3440.js
- /data/data/####/other-cert-type-list.c29e6d03e7163bcd58afc4189a...ne.css
- /data/data/####/other-cert-type-list.html
- /data/data/####/other-cert.a6a11beef686f38f3440.js
- /data/data/####/other-cert.c7bcccfc058cce8f8a4968c61f51f2b8-one.css
- /data/data/####/other-cert.html
- /data/data/####/other_cert_bg.png
- /data/data/####/parttimejob.98df4c7cf2af63858f7d56fabec59508-one.css
- /data/data/####/parttimejob.a6a11beef686f38f3440.js
- /data/data/####/parttimejob.html
- /data/data/####/pay-balancesucc.a6a11beef686f38f3440.js
- /data/data/####/pay-balancesucc.c8833889a4b3a685bffaa1eccdda609f-one.css
- /data/data/####/pay-balancesucc.html
- /data/data/####/pay-depositsucc.871109f1a132a5cdbc2d0eb275185b85-one.css
- /data/data/####/pay-depositsucc.a6a11beef686f38f3440.js
- /data/data/####/pay-depositsucc.html
- /data/data/####/payconfirm.7f715a17b5c01f962460be809515e618-one.css
- /data/data/####/payconfirm.a6a11beef686f38f3440.js
- /data/data/####/payconfirm.html
- /data/data/####/paydetail.0bdb4fbf16b2f24ef55ffc71f2eb3579-one.css
- /data/data/####/paydetail.a6a11beef686f38f3440.js
- /data/data/####/paydetail.html
- /data/data/####/payhistory.a6a11beef686f38f3440.js
- /data/data/####/payhistory.c8833889a4b3a685bffaa1eccdda609f-one.css
- /data/data/####/payhistory.html
- /data/data/####/paylist.52335ada38a7d3c6b8c1abab05a49935-one.css
- /data/data/####/paylist.a6a11beef686f38f3440.js
- /data/data/####/paylist.html
- /data/data/####/payment_status.png
- /data/data/####/payrecorddetail.8970b665cc7d7c6afa78835325f0aeff-one.css
- /data/data/####/payrecorddetail.a6a11beef686f38f3440.js
- /data/data/####/payrecorddetail.html
- /data/data/####/personal-cert.75a4ba13faa6134445536776eca44ae9-one.css
- /data/data/####/personal-cert.a6a11beef686f38f3440.js
- /data/data/####/personal-cert.html
- /data/data/####/personal_center.png
- /data/data/####/personalinfo-edit.2a214ed23064a3872e474ce7b4c62919-one.css
- /data/data/####/personalinfo-edit.a6a11beef686f38f3440.js
- /data/data/####/personalinfo-edit.html
- /data/data/####/personalnickname-edit.2a214ed23064a3872e474ce7b...ne.css
- /data/data/####/personalnickname-edit.a6a11beef686f38f3440.js
- /data/data/####/personalnickname-edit.html
- /data/data/####/privileged-task.a6a11beef686f38f3440.js
- /data/data/####/privileged-task.d9157baa543327ad0546cca13c51d110-one.css
- /data/data/####/privileged-task.html
- /data/data/####/ptj_icons.png
- /data/data/####/pub-fulltime.11a506a6c1ed19cca2be611ed4a3f282-one.css
- /data/data/####/pub-fulltime.a6a11beef686f38f3440.js
- /data/data/####/pub-fulltime.html
- /data/data/####/pub-parttime.11a506a6c1ed19cca2be611ed4a3f282-one.css
- /data/data/####/pub-parttime.a6a11beef686f38f3440.js
- /data/data/####/pub-parttime.html
- /data/data/####/pub-success.28e286da06ef99ead73253ff063224c0-one.css
- /data/data/####/pub-success.a6a11beef686f38f3440.js
- /data/data/####/pub-success.html
- /data/data/####/pubjobtype.11a506a6c1ed19cca2be611ed4a3f282-one.css
- /data/data/####/pubjobtype.a6a11beef686f38f3440.js
- /data/data/####/pubjobtype.html
- /data/data/####/pwd-manage.8fd575e60b71ceb7ed23da695a9a7b07-one.css
- /data/data/####/pwd-manage.a6a11beef686f38f3440.js
- /data/data/####/pwd-manage.html
- /data/data/####/rank_bg.png
- /data/data/####/rank_list.png
- /data/data/####/real-name.74a78a08778a13c8ab30dbd26496e93f-one.css
- /data/data/####/real-name.a6a11beef686f38f3440.js
- /data/data/####/real-name.html
- /data/data/####/real_name_n.png
- /data/data/####/real_name_y.png
- /data/data/####/recharge.a6a11beef686f38f3440.js
- /data/data/####/recharge.da57e6fa4c5ddaef7330bcb06b936c85-one.css
- /data/data/####/recharge.html
- /data/data/####/register.a6a11beef686f38f3440.js
- /data/data/####/register.abbac59518324660e45286975595ac19-one.css
- /data/data/####/register.html
- /data/data/####/resetpwd.a307296522da088bc28615caab235d2e-one.css
- /data/data/####/resetpwd.a6a11beef686f38f3440.js
- /data/data/####/resetpwd.html
- /data/data/####/returndeposucc.028b83ea122382f819d6a0a4d1969504-one.css
- /data/data/####/returndeposucc.a6a11beef686f38f3440.js
- /data/data/####/returndeposucc.html
- /data/data/####/revise-pwd.8fd575e60b71ceb7ed23da695a9a7b07-one.css
- /data/data/####/revise-pwd.a6a11beef686f38f3440.js
- /data/data/####/revise-pwd.html
- /data/data/####/rule-activity.01c654055ae13f21d5e29b789f631a2f-one.css
- /data/data/####/rule-activity.a6a11beef686f38f3440.js
- /data/data/####/rule-activity.html
- /data/data/####/security_info
- /data/data/####/select-supple-cert.9efeb9451d91656c3409063a7cf1...ne.css
- /data/data/####/select-supple-cert.a6a11beef686f38f3440.js
- /data/data/####/select-supple-cert.html
- /data/data/####/sesame_logo.jpg
- /data/data/####/setting.8fd575e60b71ceb7ed23da695a9a7b07-one.css
- /data/data/####/setting.a6a11beef686f38f3440.js
- /data/data/####/setting.html
- /data/data/####/star.png
- /data/data/####/task_bn.png
- /data/data/####/task_bn1.png
- /data/data/####/task_icon.png
- /data/data/####/task_loading.png
- /data/data/####/task_progress_bg.png
- /data/data/####/tasklist.a6a11beef686f38f3440.js
- /data/data/####/tasklist.d9157baa543327ad0546cca13c51d110-one.css
- /data/data/####/tasklist.html
- /data/data/####/tdid.xml
- /data/data/####/tel-cert.75a4ba13faa6134445536776eca44ae9-one.css
- /data/data/####/tel-cert.a6a11beef686f38f3440.js
- /data/data/####/tel-cert.html
- /data/data/####/tmp.zip
- /data/data/####/vendor.dll.js
- /data/data/####/walletdetail.a6a11beef686f38f3440.js
- /data/data/####/walletdetail.bce01bf044c20042c78fe31e7596fbab-one.css
- /data/data/####/walletdetail.html
- /data/data/####/webview.db-journal
- /data/data/####/weixin-login.a307296522da088bc28615caab235d2e-one.css
- /data/data/####/weixin-login.a6a11beef686f38f3440.js
- /data/data/####/weixin-login.html
- /data/data/####/worktime.89a0ef4effc07904c0f42292606048e1-one.css
- /data/data/####/worktime.a6a11beef686f38f3440.js
- /data/data/####/worktime.html
- /data/data/####/zm-cert.a6a11beef686f38f3440.js
- /data/data/####/zm-cert.c7bbd4dd23a2da8b139da5334a442f91-one.css
- /data/data/####/zm-cert.html
- /data/media/####/.nomedia
- /data/media/####/.tcookieid
- /data/media/####/BeLog_1538138268290.log
- /data/media/####/dmdid
- /data/media/####/domSetting
- /data/media/####/journal
- /data/media/####/journal.tmp
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop
- /system/bin/sh -c type su
- chmod 755 <Package Folder>/.jiagu/libjiagu1769550344.so
- getprop
Загружает динамические библиотеки:
- RongIMLib
- dek
- getuiext2
- kerdb
- kerkee_util
- libjiagu1769550344
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-GCM-NoPadding
- DES-CBC-PKCS5Padding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-GCM-NoPadding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
