Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) c.appj####.com:80
- TCP(HTTP/1.1) oc.u####.com:80
- TCP(HTTP/1.1) a.appj####.com:80
- TCP(TLS/1.0) msg.umengc####.com:443
- TCP(TLS/1.0) m.iro####.com:443
- TCP(TLS/1.0) a####.a####.m.####.com:443
- TCP(TLS/1.0) genera####.lin####.com:443
- TCP ope####.m.ta####.com:443
- TCP openj####.m.ta####.com:80
Запросы DNS:
- a####.m.ta####.com
- a####.u####.com
- a.appj####.com
- ag####.m.ta####.com
- c.appj####.com
- genera####.lin####.com
- m.iro####.com
- msg.umengc####.com
- oc.u####.com
- umen####.m.ta####.com
- umengj####.m.ta####.com
Запросы HTTP POST:
- a####.u####.com/app_logs
- a.appj####.com/jiagu/check/upgrade
- c.appj####.com/ad/splash/stats.html
- oc.u####.com/v2/get_update_time
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/1326014650861813352
- /data/data/####/ACCS_BINDumeng;57a9bb0467e58eaffb001de7.xml
- /data/data/####/ACCS_SDK.xml
- /data/data/####/ACCS_SDK_CHANNEL.xml
- /data/data/####/AGOO_BIND.xml
- /data/data/####/Agoo_AppStore.xml
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/DaemonServer
- /data/data/####/MessageStore.db-journal
- /data/data/####/MsgLogStore.db-journal
- /data/data/####/accs.db-journal
- /data/data/####/ad_show_time.xml
- /data/data/####/agoo.pid
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/com.google.android.gms.measurement.prefs.xml
- /data/data/####/eudemon
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/jg_app_update_settings_random.xml
- /data/data/####/libjiagu.so
- /data/data/####/message_accs_db
- /data/data/####/message_accs_db-journal
- /data/data/####/multidex.version.xml
- /data/data/####/namesign.xml
- /data/data/####/oms.mmc.fortunetelling.tools.airongbaobao_preferences.xml
- /data/data/####/onlineconfig_agent_online_setting_oms.mmc.fortu...ao.xml
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/umeng_message_state.xml
- /data/data/####/umeng_message_state.xml.bak
- /data/data/####/update_data.xml
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/webviewCookiesChromiumPrivate.db-journal
- /data/media/####/.nomedia
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/c183eb9843cb4abdb02b2d02dc50e276
- /data/media/####/deviceToken
- /data/media/####/efb731a7359046d3958e95c6bae1fa7e
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/files/DaemonServer -s <Package Folder>/lib/ -n runServer -p startservice -n <Package>/com.taobao.accs.ChannelService --user 0 -f <Package Folder> -t 600 -c agoo.pid -P <Package Folder> -K 1009527 -U tb_accs_eudemon_1.1.3 -L http://agoodm.m.taobao.com/agoo/report -D {"package":"<Package>","appKey":"umeng:57a9bb0467e58eaffb001de7","utdid":"XKTxHVQtsUoDAGdzx1Ghu3Sv","sdkVersion":"220"} -I agoodm.m.taobao.com -O 80 -T -Z
- chmod 500 <Package Folder>/files/DaemonServer
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- sh
Загружает динамические библиотеки:
- libjiagu
- tnet-3.1
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- RSA
- RSA-ECB-NoPadding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
