Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) nav.cn.ron####.####.com:80
- TCP(HTTP/1.1) and####.b####.qq.com:80
- UDP(NTP) 1.cn.p####.####.org:123
- TCP(TLS/1.0) 2####.58.212.174:443
- TCP(TLS/1.0) api.w####.com:443
- TCP(TLS/1.0) av1.x####.com:443
- TCP(TLS/1.0) api.map.b####.com:443
- TCP(TLS/1.0) s####.cn.ron####.com:443
- TCP 1####.92.36.75:8619
Запросы DNS:
- 1.cn.p####.####.org
- and####.b####.qq.com
- api.map.b####.com
- api.w####.com
- av1.x####.com
- i.t####.com
- nav.cn.ron####.com
- s####.cn.ron####.com
Запросы HTTP POST:
- and####.b####.qq.com/rqd/async?aid=####
- nav.cn.ron####.####.com/navipush.json
Изменения в файловой системе:
Создает следующие файлы:
- /data/anr/traces.txt
- /data/data/####/.jg.ic
- /data/data/####/1004
- /data/data/####/1556275026025_2309
- /data/data/####/1556275026146_2309
- /data/data/####/1556275026722_2309
- /data/data/####/1556275027898_2343
- /data/data/####/1556275028063_2343
- /data/data/####/1556275029005_2361
- /data/data/####/1556275029781_2504
- /data/data/####/1556275029933_2504
- /data/data/####/1556275030397_2504
- /data/data/####/1556275032423_2567
- /data/data/####/1556275032465_2361
- /data/data/####/1556275034507_2700
- /data/data/####/1556275035028_2700
- /data/data/####/1556275038573_2855
- /data/data/####/1556275038994_2855
- /data/data/####/1556275039884_2883
- /data/data/####/1556275041264_2965
- /data/data/####/1556275041608_2965
- /data/data/####/1556275042832_3031
- /data/data/####/1556275044016_3113
- /data/data/####/1556275044707_3113
- /data/data/####/1556275046684_3180
- /data/data/####/1556275055058_3314
- /data/data/####/1556275055417_3314
- /data/data/####/1556275056293_3342
- /data/data/####/1556275057965_3424
- /data/data/####/1556275057965_3424 (deleted)
- /data/data/####/1556275058625_3424
- /data/data/####/1556275059526_3497
- /data/data/####/1556275061282_3598
- /data/data/####/1556275061716_3598
- /data/data/####/1556275072234_3777
- /data/data/####/1556275072628_3777
- /data/data/####/1556275073583_3805
- /data/data/####/1556275074772_3874
- /data/data/####/1556275075163_3874
- /data/data/####/COUNTLY_STORE.xml
- /data/data/####/RongPush.xml
- /data/data/####/Statistics.xml
- /data/data/####/TD_app_pefercen_profile.xml
- /data/data/####/TDpref_longtime.xml
- /data/data/####/TDpref_shorttime.xml
- /data/data/####/TDpref_shorttime0.xml
- /data/data/####/authStatus_com.bflive.android.xml
- /data/data/####/authStatus_com.bflive.android;ipc.xml
- /data/data/####/authStatus_io.rong.push.xml
- /data/data/####/bugly_db_-journal
- /data/data/####/com.bflive.android_preferences.xml
- /data/data/####/crashrecord.xml
- /data/data/####/libcuid.so
- /data/data/####/libjiagu-253337660.so
- /data/data/####/local_crash_lock
- /data/data/####/multidex.version.xml
- /data/data/####/qihoo_jiagu_crash_report.xml
- /data/data/####/security_info
- /data/data/####/tdid.xml
- /data/media/####/.cuid
- /data/media/####/.cuid2
- /data/media/####/.tcookieid
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop
- /system/bin/sh -c type su
- chmod 755 <Package Folder>/.jiagu/libjiagu-253337660.so
- getprop
- logcat -d -v threadtime
Загружает динамические библиотеки:
- BaiduMapSDK_base_v4_4_0
- Bugly
- RongIMLib
- libjiagu-253337660
- weibosdkcore
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-GCM-NoPadding
- DES-CBC-PKCS5Padding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-GCM-NoPadding
- DES-CBC-PKCS5Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию о настроках APN.
Добавляет задания в системный планировщик.
