Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Предлагает установить сторонние приложения.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) ib.sn####.com:80
- TCP(HTTP/1.1) c.g####.qq.com:80
- TCP(HTTP/1.1) s####.tc.qq.com:80
- TCP(HTTP/1.1) a####.exc.mob.com:80
- TCP(HTTP/1.1) t####.c####.q####.####.com:80
- TCP(HTTP/1.1) p####.tc.qq.com:80
- TCP(HTTP/1.1) s####.e.qq.com:80
- TCP(HTTP/1.1) v.g####.qq.com:80
- TCP(HTTP/1.1) a####.sn####.com:80
- TCP(HTTP/1.1) mon.sn####.com:80
- TCP(HTTP/1.1) mi.g####.qq.com:80
- TCP(HTTP/1.1) 3####.tc.qq.com:80
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) reso####.msg.xi####.net:80
- TCP(HTTP/1.1) oth.up####.mdt.####.com:8080
- TCP(TLS/1.0) www.opendre####.cn:443
- TCP(TLS/1.0) and####.cli####.go####.com:443
- TCP(TLS/1.0) mon.sn####.com:443
- TCP(TLS/1.0) a####.sn####.com:443
- TCP(TLS/1.0) regi####.xm####.xi####.com:443
- TCP(TLS/1.0) iu.sn####.com:443
- TCP(TLS/1.0) 1####.217.17.110:443
- TCP(TLS/1.0) i.sn####.com:443
- TCP(TLS/1.0) h####.b####.com:443
- TCP(TLS/1.0) sett####.crashly####.com:443
- TCP(TLS/1.0) 3####.tc.qq.com:443
- TCP 47.74.1####.158:5222
- TCP 4####.62.94.2:443
Запросы DNS:
- 7x####.c####.z0.####.com
- a####.exc.mob.com
- a####.sn####.com
- a####.u####.com
- and####.cli####.go####.com
- api.a####.com
- c.g####.qq.com
- dd.m####.com
- dm.tou####.com
- e.crashly####.com
- h####.b####.com
- i####.dd.qq.com
- i.sn####.com
- ib.sn####.com
- imgc####.qq.com
- is.sn####.com
- iu.sn####.com
- lf.sn####.com
- log.sn####.com
- mi.g####.qq.com
- mon.sn####.com
- mt####.go####.com
- oth.up####.mdt.####.com
- p####.ugd####.com
- pp.m####.com
- qzones####.g####.cn
- regi####.xm####.xi####.com
- reso####.msg.xi####.net
- s####.e.qq.com
- sett####.crashly####.com
- v.g####.qq.com
- www.opendre####.cn
- x####.sn####.com
Запросы HTTP GET:
- 3####.tc.qq.com/16891/DFC4C824370200CD3A1183B61F55673F.apk?fsname=####&_...
- a####.sn####.com/ies/network/aweme/?retry_type=####&ac=####&channel=####...
- c.g####.qq.com/gdt_mclick.fcg?viewid=####&jtype=####&i=####&os=####&asi=...
- c.g####.qq.com/gdt_trace_a.fcg?actionid=####&targettype=####&tagetid=###...
- mi.g####.qq.com/gdt_mview.fcg?posw=####&posh=####&count=####&r=####&data...
- mon.sn####.com/monitor/appmonitor/v2/settings?openudid=####&version_name...
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android02/images/tsa_ad_logo.png
- p####.tc.qq.com/qzone/biz/gdt/mod/android/AndroidAllInOne/proguard/his/r...
- reso####.msg.xi####.net/gslb/?ver=####&type=####&conpt=####&uuid=####&li...
- s####.tc.qq.com/gdt/0/transformer_6313996233450186945_1540906621_80.jpg/...
- s####.tc.qq.com/ma_icon/0/icon_42350811_1540903526/256
- t####.c####.q####.####.com/day7.jpg
- v.g####.qq.com/gdt_stats.fcg?viewid=####&i=####&os=####&xp=####&gap=####
Запросы HTTP POST:
- a####.exc.mob.com/errconf
- a####.sn####.com/service/2/app_log/?iid=####&device_id=####&ac=####&chan...
- a####.sn####.com/service/2/log_settings/?iid=####&device_id=####&ac=####...
- a####.u####.com/app_logs
- ib.sn####.com/service/1/z_app_stats/?iid=####&device_id=####&ac=####&cha...
- ib.sn####.com/service/2/device_register/?ac=####&channel=####&aid=####&a...
- oth.up####.mdt.####.com:8080/beacon/vercheck
- s####.e.qq.com/activate
- s####.e.qq.com/click
- s####.e.qq.com/msg
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/.lock
- /data/data/####/1541016527021painmedicine.apk
- /data/data/####/5ead7c1916e321af3ee0d7d6aa595238.temp
- /data/data/####/6112c8c448e9f55c8cc6aa763f2ef0b1436b6718ba655c3....0.tmp
- /data/data/####/GDTSDK.db
- /data/data/####/GDTSDK.db-journal
- /data/data/####/KEY_NEED_UPLOAD_LAUNCHLOG.xml
- /data/data/####/MessageStore.db-journal
- /data/data/####/MsgLogStore.db-journal
- /data/data/####/XMPushServiceConfig.xml
- /data/data/####/__Baidu_Stat_SDK_SendRem.xml
- /data/data/####/__local_ap_info_cache.json
- /data/data/####/__local_last_session.json
- /data/data/####/__local_stat_cache.json
- /data/data/####/__send_data_1541016517499
- /data/data/####/account_config.xml
- /data/data/####/av_settings.xml.xml
- /data/data/####/baidu_mtj_sdk_record.xml
- /data/data/####/beacontsa_cover.xml
- /data/data/####/beacontsa_cover_check.lock
- /data/data/####/c2ea8edceb61056fafedcf7d71082fcd.temp
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/com.onlybeyond.QRcode;pushservice
- /data/data/####/com.ss.android.ugc.aweme-1.apk.classes1594598863.zip
- /data/data/####/devCloudSetting.cfg
- /data/data/####/devCloudSetting.sig
- /data/data/####/error.txt
- /data/data/####/gdt_plugin.jar
- /data/data/####/gdt_plugin.jar.sig
- /data/data/####/gdt_plugin.tmp
- /data/data/####/gdt_plugin.tmp.sig
- /data/data/####/gdt_suid
- /data/data/####/journal.tmp
- /data/data/####/libcuid.so
- /data/data/####/libjiagu.so
- /data/data/####/mipush.xml
- /data/data/####/mipush_account.xml
- /data/data/####/mipush_extra.xml
- /data/data/####/mob_sdk_exception_1.xml
- /data/data/####/multidex.version.xml
- /data/data/####/qrCode.db-journal
- /data/data/####/recordIndexFile.txt
- /data/data/####/sdkCloudSetting.cfg
- /data/data/####/sdkCloudSetting.sig
- /data/data/####/umeng_general_config.xml
- /data/data/####/update_lc
- /data/data/####/webview.db-journal
- /data/media/####/.confd
- /data/media/####/.confd-journal
- /data/media/####/.cuid
- /data/media/####/.cuid2
- /data/media/####/.dic_lock
- /data/media/####/.nomedia
- /data/media/####/.nulplt
- /data/media/####/.pkg_lock
- /data/media/####/.rcTag
- /data/media/####/.rc_lock
- /data/media/####/.timestamp
- /data/media/####/com.ss.android.ugc.aweme.apk_0
- /data/media/####/d3a7fec06d1497a991c6769d6c7f0ecd
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- getprop ro.build.display.id
- getprop ro.build.version.emui
- getprop ro.build.version.opporom
- getprop ro.miui.ui.version.name
- getprop ro.smartisan.version
- getprop ro.vivo.os.version
- logcat *:e | grep (2237)
- logcat *:e | grep (2267)
- sh
Загружает динамические библиотеки:
- crash_analysis
- libjiagu
- neh
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-ECB-PKCS5Padding
- AES-ECB-PKCS7Padding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-ECB-PKCS7Padding
- RSA-ECB-PKCS1Padding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
