Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) up####.sdk.jig####.cn:80
- TCP(HTTP/1.1) a####.exc.mob.com:80
- TCP(TLS/1.0) s####.j####.cn:443
- UDP s.j####.cn:19000
- TCP 1####.202.138.20:7001
Запросы DNS:
- a####.exc.mob.com
- s####.j####.cn
- s.j####.cn
- sis.j####.io
- up####.sdk.jig####.cn
Запросы HTTP POST:
- a####.exc.mob.com/errconf
- up####.sdk.jig####.cn/v1/push/sdk/postlist
Изменения в файловой системе:
Создает следующие файлы:
- /data/anr/traces.txt
- /data/data/####/.duid
- /data/data/####/.jg.ic
- /data/data/####/.lock
- /data/data/####/.vpl_lock
- /data/data/####/200f3796-8c9d-477f-b0f2-1410d9207dd5
- /data/data/####/22695161-1c2b-4165-aa94-e4f1dc14ea48
- /data/data/####/9ba32280-05e6-4fee-9176-65ef242dd19e
- /data/data/####/9c0d195e-0dc4-47e6-aa97-73968ff2ecf8
- /data/data/####/DB_DRIVER-journal
- /data/data/####/ThrowalbeLog.db-journal
- /data/data/####/a2145fe6-f5ef-48cd-906c-878e68ca26c6
- /data/data/####/appPackageNames_v2
- /data/data/####/cn.jpush.android.user.profile.xml
- /data/data/####/cn.jpush.preferences.v2.rid.xml
- /data/data/####/cn.jpush.preferences.v2.xml
- /data/data/####/domain_1
- /data/data/####/edcc06e5-bab8-474c-8dce-1dbcce170e72
- /data/data/####/getui_sp.xml
- /data/data/####/init_c1.pid
- /data/data/####/jpush_device_info.xml
- /data/data/####/jpush_local_notification.db
- /data/data/####/jpush_local_notification.db-journal
- /data/data/####/jpush_local_notification.db-journal (deleted)
- /data/data/####/jpush_local_notification.db-wal
- /data/data/####/jpush_stat_cache.json
- /data/data/####/jpush_stat_cache_history.json
- /data/data/####/jpush_statistics.db
- /data/data/####/jpush_statistics.db-journal
- /data/data/####/jpush_statistics.db-shm (deleted)
- /data/data/####/jpush_statistics.db-wal
- /data/data/####/jpush_uncaughtexception_file
- /data/data/####/libjiagu-1543844307.so
- /data/data/####/mob_commons_1
- /data/data/####/mob_sdk_exception_1
- /data/data/####/qihoo_jiagu_crash_report.xml
- /data/media/####/.artc_lock
- /data/media/####/.di
- /data/media/####/.dic_lock
- /data/media/####/.duid
- /data/media/####/.globalLock
- /data/media/####/.im_lock
- /data/media/####/.lesd_lock
- /data/media/####/.mn_-1464060969
- /data/media/####/.nomedia
- /data/media/####/.pkg_lock
- /data/media/####/.pkgs_lock
- /data/media/####/.push_deviceid
- /data/media/####/.rc_lock
- /data/media/####/.slw
- /data/media/####/.ss_lock
- /data/media/####/.wkl
- /data/media/####/crash-2019-04-14 11;57;26-1555243049297.log
- /data/media/####/crash-2019-04-14 11;57;33-1555243054094.log
- /data/media/####/crash-2019-04-14 11;57;38-1555243060254.log
- /data/media/####/crash-2019-04-14 11;57;44-1555243072270.log
- /data/media/####/crash-2019-04-14 11;57;57-1555243079316.log
- /data/media/####/crash-2019-04-14 11;58;15-1555243097101.log
- /data/media/####/crash-2019-04-14 11;58;20-1555243102724.log
- /data/media/####/crash-2019-04-14 11;58;26-1555243108598.log
Другие:
Запускает следующие shell-скрипты:
- cat /sys/class/net/wlan0/address
Загружает динамические библиотеки:
- getuiext3
- jcore121
- libjiagu-1543844307
- msc
- pl_droidsonroids_gif
Использует следующие алгоритмы для шифрования данных:
- AES-ECB-PKCS7Padding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-ECB-NoPadding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
