Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Осуществляет доступ к приватному интерфейсу ITelephony.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) api.icaipia####.com:80
- TCP(HTTP/1.1) t####.c####.q####.####.com:80
- TCP(HTTP/1.1) c.appj####.com:80
- TCP(HTTP/1.1) ti####.c####.l####.####.com:80
- TCP(HTTP/1.1) idv####.qini####.com:80
- TCP(TLS/1.0) api.icaipia####.com:443
- TCP(TLS/1.0) 1####.217.168.238:443
- TCP(TLS/1.0) res####.a####.com:443
Запросы DNS:
- a####.u####.com
- amap####.cn-hang####.oss####.####.com
- api.icaipia####.com
- c.appj####.com
- odqcj####.bkt.clo####.com
- p.wangca####.com
- p.zhangko####.cn
- res####.a####.com
- s0.icaipia####.com
- t####.path-an####.com
Запросы HTTP GET:
- api.icaipia####.com/api/v1/c/p?p=####
- api.icaipia####.com/api/v5/server/timestamp
- api.icaipia####.com/api/v6/lotterynums/latest/all
- api.icaipia####.com/api/v7/social/hitlist?count=####&max_id=####
- api.icaipia####.com/api/v7/social/hotlist?count=####&page=####
- api.icaipia####.com/api/v7/social/newlist?count=####&max_id=####
- api.icaipia####.com/api/v7/social/topandnoticelist
- idv####.qini####.com/8842CA2AD955B5540DD9B7384D23C8AA.jpg?imageVi####
- idv####.qini####.com/935095B55F2A7B479B5898C65AE8AB87.jpg?imageVi####
- idv####.qini####.com/9C3E883D3B0761AE45D2DBE5B09E3745.jpg?imageVi####
- idv####.qini####.com/A22C9FFF6F8E13FCD423FD64FB74B422.jpg?imageVi####
- idv####.qini####.com/D2EDF15EC9A88A014645244AC3622300.jpg?imageVi####
- idv####.qini####.com/EB5711804F890D7A2F59C689790E6F1B.jpg?imageVi####
- idv####.qini####.com/EC8B7E4D30FABE17D66A12CD68542EB6.jpg?imageVi####
- idv####.qini####.com/EE516B4D0F59B9948FD6FD841E35C5EA.jpg?imageVi####
- idv####.qini####.com/EFC2184490D2DD0AF1E9B2A104EF7F02.jpg?imageVi####
- idv####.qini####.com/F299DA84DEF0472611C469E4A8876304.jpg?imageVi####
- idv####.qini####.com/sys_2385D214F3ECB97F5A12410F11D46C4D.jpg?imageVi####
- idv####.qini####.com/troop_9C8D0C1F704F96BAFAA351CBDB924596.jpg?imageVi#...
- t####.c####.q####.####.com/avatar/190304/336e0e198bee300be37481886d53c80...
- t####.c####.q####.####.com/avatar/190304/6701814f9cdcf532b4bd168bbaeeaf8...
- ti####.c####.l####.####.com/20171210/7286AF1D1263D484C668FF0F14C5CED5.jp...
- ti####.c####.l####.####.com/20190227/DCCC4C154C82D391BF58A215C3347267.jp...
- ti####.c####.l####.####.com/20190313/85621BAD3DFEA2FC68FBDB0DD9EBC3A0.jp...
- ti####.c####.l####.####.com/20190317/E07BA7473DB03ACF7EE3066401A22BF3.jp...
- ti####.c####.l####.####.com/20190321/25c748e21dac2e9fde3b22219806b0fa.jp...
- ti####.c####.l####.####.com/20190321/84100094ff6ade6ed1fea20f6a5ff5aa.jp...
- ti####.c####.l####.####.com/20190321/ea00d461adf74005d0a0a6c663facc93.jp...
- ti####.c####.l####.####.com/20190321/faca7afcb8b7e0bc492ed4c404804da7.jp...
- ti####.c####.l####.####.com/20190322/19efc9ba2a6010f93b03de02dd8f06da.pn...
- ti####.c####.l####.####.com/20190322/c3550ebeaf4c4002529123a47a807ebd.jp...
- ti####.c####.l####.####.com/20190322/d67393fd6db677a03bf7a1f78e36adda.pn...
- ti####.c####.l####.####.com/avatar/170117/346e540726b9479dc7cf4467dcfb3f...
- ti####.c####.l####.####.com/avatar/170407/5cf8e121877705c609c77ec2414fdf...
- ti####.c####.l####.####.com/avatar/190316/2f49959f4357a4628b7e7b0b8c867f...
- ti####.c####.l####.####.com/chengji45.jpg?imageVi####
- ti####.c####.l####.####.com/chengji54.jpg?imageVi####
- ti####.c####.l####.####.com/da70.jpg?imageVi####
- ti####.c####.l####.####.com/qi51.jpg?imageVi####
- ti####.c####.l####.####.com/recommend/master/171023132946/164.jpg?imageV...
- ti####.c####.l####.####.com/recommend/master/171023132946/212.jpg?imageV...
- ti####.c####.l####.####.com/recommend/master/171023132946/371.jpg?imageV...
- ti####.c####.l####.####.com/recommend/master/171023132946/420.jpg?imageV...
- ti####.c####.l####.####.com/recommend/master/171023132946/422.jpg?imageV...
- ti####.c####.l####.####.com/recommend/master/171023132946/492.jpg?imageV...
- ti####.c####.l####.####.com/recommend/master/171023132946/493.jpg?imageV...
- ti####.c####.l####.####.com/recommend/master/171023132946/670.jpg?imageV...
- ti####.c####.l####.####.com/recommend/master/171023132946/724.jpg?imageV...
- ti####.c####.l####.####.com/usericon_default.jpg?imageVi####
Запросы HTTP POST:
- a####.u####.com/app_logs
- api.icaipia####.com/api/v5/server/activate
- api.icaipia####.com/api/v5/server/config
- c.appj####.com/ad/splash/stats.html
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/-11061032841889599619
- /data/data/####/-115759911523283520
- /data/data/####/-11788933491545824674
- /data/data/####/-1219906726-1162757449
- /data/data/####/-1219906726-1428030378
- /data/data/####/-1219906726-1959617327
- /data/data/####/-1219906726-272103534
- /data/data/####/-1219906726-338670120
- /data/data/####/-1219906726-587810029
- /data/data/####/-12199067261335762412
- /data/data/####/-12199067261438616374
- /data/data/####/-12199067261670629848
- /data/data/####/-1306142814-53937323
- /data/data/####/-13061458151024367065
- /data/data/####/-1323507672284596181
- /data/data/####/-1363026875-723559301
- /data/data/####/-1457898812886110398
- /data/data/####/-1493252944-1869695066
- /data/data/####/-15784491411645425687
- /data/data/####/-17686476891544776805
- /data/data/####/-17893987121944668222
- /data/data/####/-179068816280875142
- /data/data/####/-179068909280875142
- /data/data/####/-1870901461602615855
- /data/data/####/-19435694362121969833
- /data/data/####/-2060262603-1014660024
- /data/data/####/-439190702-2093613962
- /data/data/####/-4474354941172831360
- /data/data/####/-72596890-903700512
- /data/data/####/-8015359161018669573
- /data/data/####/-874555153-1782018992
- /data/data/####/-948442616725495041
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/.log.lock
- /data/data/####/.log.ls
- /data/data/####/00c996bdf12b9ff54513547ba00e05075e597237fc1ba7e....0.tmp
- /data/data/####/01495c411f0b77e4e4e48edc4a9fd041b74b8a4ac5f4a09....0.tmp
- /data/data/####/0274dbf3656144a69d5989a0569dac5c8f0402ff95bf808....0.tmp
- /data/data/####/1004378167523283520
- /data/data/####/10262307771266199360
- /data/data/####/1047808877-474255039
- /data/data/####/1055875662-668714197
- /data/data/####/10558756621092759573
- /data/data/####/10558756621181789826
- /data/data/####/10558756622113885388
- /data/data/####/10842328061341735105
- /data/data/####/11797097931981087371
- /data/data/####/1263995697356.0
- /data/data/####/12e4632887f48412df696f68acfeab3576bb84cb4446f6e....0.tmp
- /data/data/####/13340268141774571834
- /data/data/####/1644815258-766269437
- /data/data/####/1711d5d03a76654f67a775b692ab6e889b84de547dd5471....0.tmp
- /data/data/####/175433065-621354574
- /data/data/####/183693904071533748
- /data/data/####/18767411495931127
- /data/data/####/1e3bc347a4022b51fa6b2856663d81588427e927f867840....0.tmp
- /data/data/####/21090119561046727059
- /data/data/####/253193064-1619705854
- /data/data/####/253193064-2039568853
- /data/data/####/28ceef2fe26246ba3475dd26cf202e1613ca9e882da02e7....0.tmp
- /data/data/####/291730574-638810563
- /data/data/####/2ded8a6a103574e4ecd14276116fa84a725264f967881ae....0.tmp
- /data/data/####/345323167497220206
- /data/data/####/363214831-101004511
- /data/data/####/36321483127994478
- /data/data/####/367472543467560806
- /data/data/####/3709b623af9e82e4ce8b33fcb1f77781a9467eb26ac4fb3....0.tmp
- /data/data/####/3a3377bf20a6cba25315f2a5bbf8dafaf611b2d51a19ed4....0.tmp
- /data/data/####/3d0a39c0d5c08133c8137bf19465c2018b807ba6094330d....0.tmp
- /data/data/####/3f8a97285bc218cbd8dc11be646091372a3bfc22aac4600....0.tmp
- /data/data/####/48705056-1774829233
- /data/data/####/49a3dff417a012a80a777e941a340c46182a71f9410cf21....0.tmp
- /data/data/####/4f786ea3e8056298281e89e41c3d0864e7d178f9d51431c....0.tmp
- /data/data/####/4f98ec632aab5df0daa17b1e163c9b57710c6f23f02506a....0.tmp
- /data/data/####/531008749-964746493
- /data/data/####/59f8c98b7d6a39bd586b562cba4a77eea6551a5b7ca83b8....0.tmp
- /data/data/####/5da73f0c4b49d5bb9b86772355deba7d3cb9ac4ddaf3a3e....0.tmp
- /data/data/####/6058bc2e035c0083b928a4fd1ea92fea680d7f02edaa128....0.tmp
- /data/data/####/621a623fe4709638b8bd9b1776669a3cf85493f24d7e144....0.tmp
- /data/data/####/665869930406271954
- /data/data/####/6b47e09aa9d8f6851525dc3586af4ce273fb113f8f4a6be....0.tmp
- /data/data/####/6d74f8d053a9188bcca2e41789541635504e010af0e6631....0.tmp
- /data/data/####/719bfde585db5fa1fb739a85f98ffd3ee23ee1fc8e8bd95....0.tmp
- /data/data/####/72eeaffe14344ea076e2e655408a53f4d4409ecfaf36f42....0.tmp
- /data/data/####/756126789225866505
- /data/data/####/7ae13cd565ac070293d4cda56276b118682bf53d33f43f7....0.tmp
- /data/data/####/8189759841365445847
- /data/data/####/8228bed259eed96e7902894ab5e1479cf1222e450b0796f....0.tmp
- /data/data/####/826128565-824137569
- /data/data/####/8963979938493.0
- /data/data/####/8af123734a6e55242f25c1ac6876549d1c22507bbeeaa60....0.tmp
- /data/data/####/8fda64f5233d953628a7e313f1723df84c5bbe34ae00bac....0.tmp
- /data/data/####/912ced52af7151e53516295636ea6c3b5f88ead88de103e...0e99.0
- /data/data/####/939f23a9721ac10a6d1361cd4837bb681bef161b4515032....0.tmp
- /data/data/####/953799101-1361430384
- /data/data/####/98a929daa59b7c48fee62df708ee9c18d65b0ee871da444....0.tmp
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/__cfg_lk_1312
- /data/data/####/a3000aa3e18452c0433c10604d12e3ef7ac469a3c9aaadc....0.tmp
- /data/data/####/ad3b8404cab3eb5e62ee391a42aeb63e50eb81e40da55a8....0.tmp
- /data/data/####/c63da074fa8eef30683b8ae0a09b01929adeb93fc6e7cb9...b4c5.0
- /data/data/####/ca5df1a003b88e3c593d820798fbb72f50bff046db82007....0.tmp
- /data/data/####/cache.xml
- /data/data/####/cache_int.xml
- /data/data/####/cb0838bd65225b5139f9a4f0958ad31c11347a6869a8a3d....0.tmp
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/cf6f0d81072fa235e187789a8357788adfeb2eaefef3de6....0.tmp
- /data/data/####/da9cfdff49ac0733421696c2f37ed239066f66028bbf97f....0.tmp
- /data/data/####/db_mynums.db-journal
- /data/data/####/dc520c32a73e04a0a2e7354ee4da74f30d6b1ace3372d0d....0.tmp
- /data/data/####/e10c6345526dcb541c9a3e7ade25252ce7d4ffd68bf946a....0.tmp
- /data/data/####/e6ff22b026825b6f917bf876f285a9d0895df15424961e0....0.tmp
- /data/data/####/ef0782664788dd1da3e5da79579e34368ba927163342a93....0.tmp
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/f8adf898e943ee498c83e44ee15924538267da55ad07f65....0.tmp
- /data/data/####/fucaithreed.yuce_preferences.xml
- /data/data/####/hmdb
- /data/data/####/hmdb-journal
- /data/data/####/jg_app_update_settings_random.xml
- /data/data/####/journal
- /data/data/####/journal.tmp
- /data/data/####/libjiagu.so
- /data/data/####/logdb.db
- /data/data/####/logdb.db-journal
- /data/data/####/multidex.version.xml
- /data/data/####/pref.xml
- /data/data/####/tempfile
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/webview.db-journal
- /data/media/####/1ugitk6q9v1r6fpw5pgrlagv
- /data/media/####/2htxx2uxydy3f37wdxirb65f0
- /data/media/####/2k21vfy2cvwj5p3cgh90dewr1
- /data/media/####/4dfn7105q3p6ct7y1bwjlc7v0
- /data/media/####/5vgspxpwsz6c1i7yf31m7kfrl
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/als.db
- /data/media/####/als.db-journal
- /data/media/####/kyhzd4i0r0lz38wookmp7mgi
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
Загружает динамические библиотеки:
- libjiagu
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- RSA
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- DES
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Отрисовывает собственные окна поверх других приложений.
