Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) s29.9####.cn:80
- TCP(HTTP/1.1) et2-na6####.wagbr####.ali####.####.com:80
- TCP(HTTP/1.1) ti####.bx####.com:80
- TCP(HTTP/1.1) s28.9####.cn:80
- TCP(TLS/1.0) s29.9####.cn:443
- TCP(TLS/1.0) ti####.bx####.com:443
Запросы DNS:
- a####.u####.com
- apm-col####.qte####.com
- log.u####.com
- res####.bx####.com
- s####.u####.com
- s28.9####.cn
- s29.9####.cn
- ti####.bx####.com
Запросы HTTP GET:
- et2-na6####.wagbr####.ali####.####.com/bar/get/54ab977dfd98c51d120006bf/...
- s28.9####.cn/
- s28.9####.cn/static/upload/a/190308104851-485_m.png
- s28.9####.cn/static/upload/a/190308122557-386_m.jpg
- s29.9####.cn/attach/download/app/pic/1e/ffbcca0ebc8f930b75c4ae08c172fe82...
- s29.9####.cn/attach/download/app/pic/40/ba054207ebf5a5288019c08c67a7b169...
- s29.9####.cn/attach/download/app/pic/74/e71666502f95f29f5bf2641c60b7f20c...
- s29.9####.cn/attach/download/app/pic/b5/8847656116c565449bf9db55b388ec46...
- s29.9####.cn/attach/download/app/pic/bc/71295c1b8972b87eda831cc05168cd86...
- s29.9####.cn/attach/download/app/pic/ef/236299c1be11d675439cea589d2fb25f...
- s29.9####.cn/attach/product/20/8b/208b65e9e6fb54ef4701d073aebb5050_L.jpg
- s29.9####.cn/attach/product/8e/45/8e45cb934d3a470e0c580aaac6624bcf_L.jpg
- s29.9####.cn/attach/product/91/47/91470f3f5261905c4f3c5a4ff961bad0_L.jpg
- s29.9####.cn/attach/product/f7/75/f775c9d672e65755a6fedc2213040985_L.jpg
- s29.9####.cn/attach/wenwen/12/2e/122e41d2c4019173853a6ec5607a615a_IMGINF...
Запросы HTTP POST:
- a####.u####.com/app_logs
- ti####.bx####.com/api/article/lists
- ti####.bx####.com/api/common/ads
- ti####.bx####.com/api/common/checkversion
- ti####.bx####.com/api/common/launchstat
- ti####.bx####.com/api/common/popads
- ti####.bx####.com/api/planner/lists
- ti####.bx####.com/api/product/airecommend
- ti####.bx####.com/api/solution/lists
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/00f30cdebb2c22ed9cb3772817264a92ac90bf0158300e2....0.tmp
- /data/data/####/1552249408955.log
- /data/data/####/1552249408955.log.bak
- /data/data/####/1c2abf7617c8edf8104afd725d84cbca6121e9ae5718cb6....0.tmp
- /data/data/####/2548a9798c991637e29a82fff17ceaa1fc8fe1e2d7cfcc9....0.tmp
- /data/data/####/39b564e1bda5174ef9adb5016be02f59d3621d49d8b1dfe....0.tmp
- /data/data/####/4dd96b622b63ebbdea456184c56ea3b8ff3338d0dbab68b....0.tmp
- /data/data/####/55cef1dec8425240bb421b10ba663ec8cc713fcb4237edd....0.tmp
- /data/data/####/6b78d2038d4a7ec353e77efaeef81fab1d8bb9dfb9e68dc....0.tmp
- /data/data/####/6b97ebf8be97a76047ff2e8b2ead7505774724a3d8c9d72....0.tmp
- /data/data/####/81b7fcf5a161e71f23ce29ad5f42b9981005669ed4a7c7a....0.tmp
- /data/data/####/9bbed1087e6846d5ab547408c1d7c6126d0e1edff50e5cf....0.tmp
- /data/data/####/ApplicationCache.db-journal
- /data/data/####/QALConfigStore.dat
- /data/data/####/TLS_DEVICE_INFO.xml
- /data/data/####/TestinAgent.db
- /data/data/####/TestinAgent.db-journal
- /data/data/####/TestinCrash.xml
- /data/data/####/WLOGIN_DEVICE_INFO.xml
- /data/data/####/b8366df718b366c4769d3f23a606e850ec18e59aba67ff8....0.tmp
- /data/data/####/b94a6733620c6ea4d4176683c5ab430a2dee2aa766bbcce....0.tmp
- /data/data/####/b95adb3164cc86bbebcb1db1ca44e1124429183b5b921c1....0.tmp
- /data/data/####/bafaac226fa2109bb742c659d2c91060ef3020e70caff60....0.tmp
- /data/data/####/com.jiuyang.baoxian_preferences.xml
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/dbd0b350b47f2eeec1154baf0115df0eff0e5c068e0d48c....0.tmp
- /data/data/####/e1140a0e91ea932eb6a74f7385354a46d0fb284969142cc....0.tmp
- /data/data/####/e78f9a737bbc0bdc2d0937dbfdced908a5e4e31d2abc504....0.tmp
- /data/data/####/exchangeIdentity.json
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/imei
- /data/data/####/index
- /data/data/####/insure.db-journal
- /data/data/####/jg_so_upgrade_setting.xml
- /data/data/####/journal.tmp
- /data/data/####/libjiagu.so
- /data/data/####/mobclick_agent_cached_com.jiuyang.baoxian42
- /data/data/####/multidex.version.xml
- /data/data/####/report_v5.msgstore-journal
- /data/data/####/tls_device.dat
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/umeng_socialize.xml
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/wlogin_device.dat
- /data/media/####/.nomedia
- /data/media/####/app.19.03.10.20.log
- /data/media/####/sdk.19.03.10.20.log
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
Загружает динамические библиотеки:
- NativeCrash
- _imcore_jni_gyp
- libjiagu
- libwtcrypto
- qalcodecwrapper
- qalmsfboot
Использует следующие алгоритмы для шифрования данных:
- AES
- AES-CBC-NoPadding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-NoPadding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
