Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) rp-na####.ron####.com:80
- TCP(HTTP/1.1) and####.b####.qq.com:80
- UDP(NTP) 1.cn.p####.####.org:123
- TCP(TLS/1.0) api.map.b####.com:443
- TCP(TLS/1.0) api.w####.com:443
- TCP(TLS/1.0) av1.x####.com:443
- TCP(TLS/1.0) s####.cn.ron####.com:443
Запросы DNS:
- 1.cn.p####.####.org
- and####.b####.qq.com
- api.map.b####.com
- api.w####.com
- av1.x####.com
- i.t####.com
- nav.cn.ron####.com
- s####.cn.ron####.com
Запросы HTTP POST:
- and####.b####.qq.com/rqd/async?aid=####
- rp-na####.ron####.com/navipush.json
Изменения в файловой системе:
Создает следующие файлы:
- /data/anr/traces.txt
- /data/data/####/.jg.ic
- /data/data/####/1004
- /data/data/####/1554331156265_2299
- /data/data/####/1554331156453_2299
- /data/data/####/1554331157013_2299
- /data/data/####/1554331158042_2332
- /data/data/####/1554331158172_2332
- /data/data/####/1554331158816_2350
- /data/data/####/1554331159502_2518
- /data/data/####/1554331159623_2518
- /data/data/####/1554331160032_2518
- /data/data/####/1554331160456_2350
- /data/data/####/1554331160718_2557
- /data/data/####/1554331160794_2557
- /data/data/####/1554331162702_2691
- /data/data/####/1554331163149_2691
- /data/data/####/1554331163926_2719
- /data/data/####/1554331167380_2849
- /data/data/####/1554331167899_2849
- /data/data/####/1554331168811_2877
- /data/data/####/1554331170260_2959
- /data/data/####/1554331170879_2959
- /data/data/####/1554331171906_3025
- /data/data/####/1554331173318_3107
- /data/data/####/1554331173318_3107 (deleted)
- /data/data/####/1554331173795_3107
- /data/data/####/1554331175653_3174
- /data/data/####/1554331184260_3312
- /data/data/####/1554331184660_3312
- /data/data/####/1554331185600_3340
- /data/data/####/1554331186960_3422
- /data/data/####/1554331187346_3422
- /data/data/####/1554331190746_3488
- /data/data/####/1554331205302_3683
- /data/data/####/1554331205791_3683
- /data/data/####/1554331207344_3711
- /data/data/####/1554331208518_3789
- /data/data/####/1554331209104_3789
- /data/data/####/1554331211183_3860
- /data/data/####/COUNTLY_STORE.xml
- /data/data/####/RongPush.xml
- /data/data/####/RongPush.xml.bak
- /data/data/####/Statistics.xml
- /data/data/####/TD_app_pefercen_profile.xml
- /data/data/####/TDpref_longtime.xml
- /data/data/####/TDpref_shorttime.xml
- /data/data/####/TDpref_shorttime.xml (deleted)
- /data/data/####/TDpref_shorttime0.xml
- /data/data/####/authStatus_com.bflive.android.xml
- /data/data/####/authStatus_com.bflive.android;ipc.xml
- /data/data/####/authStatus_io.rong.push.xml
- /data/data/####/bugly_db_-journal
- /data/data/####/com.bflive.android_preferences.xml
- /data/data/####/crashrecord.xml
- /data/data/####/crashrecord.xml (deleted)
- /data/data/####/libcuid.so
- /data/data/####/libjiagu-253337660.so
- /data/data/####/local_crash_lock
- /data/data/####/multidex.version.xml
- /data/data/####/qihoo_jiagu_crash_report.xml
- /data/data/####/security_info
- /data/data/####/tdid.xml
- /data/media/####/.cuid
- /data/media/####/.cuid2
- /data/media/####/.tcookieid
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop
- /system/bin/sh -c type su
- chmod 755 <Package Folder>/.jiagu/libjiagu-253337660.so
- getprop
- logcat -d -v threadtime
Загружает динамические библиотеки:
- BaiduMapSDK_base_v4_4_0
- Bugly
- RongIMLib
- libjiagu-253337660
- weibosdkcore
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-GCM-NoPadding
- DES-CBC-PKCS5Padding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-GCM-NoPadding
- DES-CBC-PKCS5Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию о настроках APN.
