Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) app.gulu####.com:23388
- TCP(HTTP/1.1) t####.c####.q####.####.com:80
- TCP(HTTP/1.1) vod.c####.q####.####.com:80
- TCP(TLS/1.0) et2-na6####.wagbr####.ali####.####.com:443
- TCP(TLS/1.0) s####.j####.cn:443
- UDP s.j####.cn:19000
- TCP 39.98.2####.27:7007
Запросы DNS:
- a####.gulu####.com
- app.gulu####.com
- colle####.b####.com
- img.gulu####.com
- log.u####.com
- s####.j####.cn
- s####.u####.com
- s.j####.cn
Запросы HTTP GET:
- app.gulu####.com:23388/api/advert/getAdvertContentList?boardId=####&page...
- app.gulu####.com:23388/api/greetings/getGreetings?
- app.gulu####.com:23388/api/song/getSongInfo?songId=####
- app.gulu####.com:23388/api/song/getSongInfo?songId=####&
- app.gulu####.com:23388/api/songRecommend/getRecommendSongList?pageSize=#...
- app.gulu####.com:23388/api/userRecommend/getUserRecommendList?
- app.gulu####.com:23388/api/version/getVersion?type=####&
- t####.c####.q####.####.com/appadvert/content/117ebd54-f113-4745-9c88-ce4...
- t####.c####.q####.####.com/appadvert/content/33091529-72f7-4183-a910-12e...
- t####.c####.q####.####.com/appadvert/content/5960a83b-27e7-42b1-8339-a8a...
- t####.c####.q####.####.com/appadvert/content/720cfb5b-1e75-4828-a37d-5f0...
- t####.c####.q####.####.com/appadvert/content/76df61dd-7f86-41d8-8982-e18...
- t####.c####.q####.####.com/appadvert/content/7f94c5d9-e008-4fd2-b884-a7a...
- t####.c####.q####.####.com/appadvert/content/a0a23102-afef-426e-ac16-a06...
- t####.c####.q####.####.com/appadvert/content/a935a840-04e3-4162-9939-905...
- t####.c####.q####.####.com/appadvert/content/d6dcc624-0e39-475c-8bdd-d5a...
- t####.c####.q####.####.com/appadvert/content/dbdaa004-4a37-470e-8e86-65d...
- t####.c####.q####.####.com/appgreetings/6ab6e717-d215-476b-bc95-4f3a83b2...
- t####.c####.q####.####.com/avatar/6d2c24fb-6107-4833-9c4a-f12a3e0bca14.jpg
- t####.c####.q####.####.com/cover/cover_10552_2019040115052229938029.jpg!...
- t####.c####.q####.####.com/cover/cover_112938_20190310104220381631627.jp...
- t####.c####.q####.####.com/cover/cover_113395_20190126192841320515959.jp...
- t####.c####.q####.####.com/cover/cover_117675_2019040520051117203379.jpg...
- t####.c####.q####.####.com/cover/cover_117927_20190318174541778132116.jp...
- t####.c####.q####.####.com/cover/cover_117927_20190318174541778132116.jpg
- t####.c####.q####.####.com/cover/cover_118459_20190411131501890478183.jp...
- t####.c####.q####.####.com/cover/cover_118459_2019041113193801861529.jpg...
- t####.c####.q####.####.com/cover/cover_118459_2019041113213402596882.jpg...
- t####.c####.q####.####.com/cover/cover_121205_2019021420540329631283.jpg...
- t####.c####.q####.####.com/cover/cover_239312_20190213142022601145548.jp...
- t####.c####.q####.####.com/cover/cover_585429_20190305100809230839839.jp...
- t####.c####.q####.####.com/cover/cover_585429_20190305100809230839839.jpg
- t####.c####.q####.####.com/cover/cover_585429_20190408170051192581686.jp...
- vod.c####.q####.####.com/0d63b1901872b948df803362bed6870c.mp3
- vod.c####.q####.####.com/939bdc5414da07e9083b60d7bbbb34cb.mp3
Изменения в файловой системе:
Создает следующие файлы:
- /data/anr/traces.txt
- /data/data/####/.jg.ic
- /data/data/####/.log.lock
- /data/data/####/.log.ls
- /data/data/####/046ddd20643fee7faf7b1191e2472da06607f98a941686c....0.tmp
- /data/data/####/0d4db8e092225cb644cf0bfb03a21a04b538e09e8d4a27c....0.tmp
- /data/data/####/1555090511443.log
- /data/data/####/1a7e7803319409b92e4064944aa3237282ed311e2d8d7ad....0.tmp
- /data/data/####/2519807d7f6c849f72c018c5e90112406ae1578871f62fe....0.tmp
- /data/data/####/2d133d21b63df3d97f5ec7c1d8c85702ce65ba03a6cf452....0.tmp
- /data/data/####/2daa7d9706287990cc8caac7c32909dd89fb52a58a8c625....0.tmp
- /data/data/####/318ffcee2230b4df8c1a6ed2d4463fbf.0.tmp
- /data/data/####/318ffcee2230b4df8c1a6ed2d4463fbf.1.tmp
- /data/data/####/350769529
- /data/data/####/40aac1816a300c66a1d78cf719d9c35a89fdf977000c0aa....0.tmp
- /data/data/####/4dbb4f4d4074c52f3d2591ff1424c9b6a1b400994f71a59....0.tmp
- /data/data/####/640e2fbdddfd857a87e003f41fdda0c92d78f04c1d35653....0.tmp
- /data/data/####/6fc3fadbc7565da15bdd9d3e12c9294152642ba357fc8f3....0.tmp
- /data/data/####/7373fbb34a6f20afeece72fe0bebd1abfdd3b17ff32c65f....0.tmp
- /data/data/####/77aabf56da12fcc13d7e42b5398c47fa.0.tmp
- /data/data/####/77aabf56da12fcc13d7e42b5398c47fa.1.tmp
- /data/data/####/78f601fcbdbc31873f1af8920816ea85ed2e70dc13a225c....0.tmp
- /data/data/####/7e6c40f1dcb7c72886544e4eace62dd8015d2fc4119dc3e....0.tmp
- /data/data/####/872106240772e8041077e48c927b8d60a2722f658d74117....0.tmp
- /data/data/####/8c7b5776902f803f35d96563a41eb8a02ad790100862e68....0.tmp
- /data/data/####/8d4ef36c4996b504c0b32765ed89a49c8fc652c0342e1c1....0.tmp
- /data/data/####/BUGHD.xml
- /data/data/####/GuideAc.xml
- /data/data/####/JPushSA_Config.xml
- /data/data/####/Service.xml
- /data/data/####/StartAc.xml
- /data/data/####/a4c5042a9274f33e4aa886455177d6c356b3a4e2a78f881....0.tmp
- /data/data/####/app_data.xml
- /data/data/####/b5adcc4f201d21c18572d852b10b274f763935cf2d29a3a....0.tmp
- /data/data/####/c2ab6129a4a02851cddef11ccf393428c863879daa30419....0.tmp
- /data/data/####/cacheplaylist
- /data/data/####/cb37b883191a4af719d038dfb11774e115bbc48032192d4....0.tmp
- /data/data/####/cn.jpush.android.user.profile.xml
- /data/data/####/cn.jpush.preferences.v2.xml
- /data/data/####/cn.jpush.preferences.v2.xml.bak
- /data/data/####/com.bm.gulubala_preferences.xml
- /data/data/####/d611981d1231892d1c74023070eb3e37aee33ceece05879....0.tmp
- /data/data/####/d6627bd89b5d6dcaaabde212dbe84404df5f40e38f60faa....0.tmp
- /data/data/####/e3e5ccb2ca939ceccd48fa817f58359945e1029d4b1019a....0.tmp
- /data/data/####/e892406c65fc45c79e1dbb45e3a6692691df8b7b953d6ba....0.tmp
- /data/data/####/journal
- /data/data/####/journal.tmp
- /data/data/####/jpush_stat_cache.json
- /data/data/####/jpush_stat_cache_history.json
- /data/data/####/jpush_statistics.db
- /data/data/####/jpush_statistics.db-journal
- /data/data/####/libjiagu.so
- /data/data/####/musicdb.db-journal
- /data/data/####/songlisthistory.db
- /data/data/####/songlisthistory.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_socialize.xml
- /data/data/####/webview.db-journal
- /data/media/####/.nomedia
- /data/media/####/.push_deviceid
- /data/media/####/1ctz3ewz8sm48xqtr6p161n2l.0.tmp
- /data/media/####/1vvjfycaz0sgs3qkhbrnxido4.0.tmp
- /data/media/####/217032
- /data/media/####/217063
- /data/media/####/32hkf9dvsr36dluw7vyck8nj0.0.tmp
- /data/media/####/3ahsn0zrwcoj4yils3mnlrabi.0.tmp
- /data/media/####/4hpxhxo1iwybfdz3lfjvhrk3i.0.tmp
- /data/media/####/4htlocbs5pd4xvtzhhcg7ofmx.0.tmp
- /data/media/####/4tgrejkt3tmfgan00h17fv1qi.0.tmp
- /data/media/####/5pmq56ljrhryu16n3ch96561c.0.tmp
- /data/media/####/63o096tpdo6dzzyycshpexixx.0.tmp
- /data/media/####/6ps66llcpqd0o59rbtbypqu89.0.tmp
- /data/media/####/ffntf0qksi2933gtwo4nzayl.0.tmp
- /data/media/####/journal
- /data/media/####/journal.tmp
- /data/media/####/knbm6bpewr4gdeaq0nvgstrr.0.tmp
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
Загружает динамические библиотеки:
- RSSupportIO
- blasV8
- jpush217
- libjiagu
- librsjni
- pl_droidsonroids_gif
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-NoPadding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-NoPadding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
