Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Egame.2.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) 1####.96.49.16:80
- TCP(HTTP/1.1) m####.vc####.cn:80
- TCP(HTTP/1.1) cdn.hm.p####.####.com:80
- TCP(HTTP/1.1) 2####.102.39.23:80
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(HTTP/1.1) 1####.29.29.29:80
- TCP(HTTP/1.1) 1####.96.49.15:80
- TCP(TLS/1.0) ssl.gst####.com:443
- TCP(TLS/1.0) 1####.217.19.206:443
- TCP(TLS/1.0) www.go####.com:443
- TCP(TLS/1.0) www.gst####.com:443
Запросы DNS:
- 15.49.96.####.arpa
- 16.49.96.####.arpa
- 23.39.102.####.arpa
- 69.49.96.####.arpa
- and####.b####.qq.com
- cdn.hm.p####.cn
- m####.vc####.cn
- ssl.gst####.com
- www.go####.com
- www.gst####.com
Запросы HTTP GET:
- cdn.hm.p####.####.com/f/pkg/ad/000/007/226/fb82ff69h6e4504d.jpg
- cdn.hm.p####.####.com/f/pkg/ad/000/007/465/3bea129fh71ea148.jpg
- cdn.hm.p####.####.com/f/pkg/ad/000/007/727/4f6a3969h75e978d.png
- cdn.hm.p####.####.com/f/pkg/ad/000/007/727/f532cc03h75e9825.png
- cdn.hm.p####.####.com/f/pkg/ad/000/008/215/59ad7af6h7d5cc5a.jpg
- cdn.hm.p####.####.com/f/pkg/ad/000/008/216/440e77e5h7d5f508.jpg
- cdn.hm.p####.####.com/f/pkg/ad/000/008/216/994a53dah7d5f62a.png
- cdn.hm.p####.####.com/f/pkg/ad/000/008/216/d4b643bbh7d5f03c.jpg
- cdn.hm.p####.####.com/f/pkg/ad/000/008/216/d980256dh7d5f5dd.png
- cdn.hm.p####.####.com/f/pkg/ad/000/008/216/e9257d47h7d5f182.jpg
- cdn.hm.p####.####.com/f/pkg/ph/mid/000/004/151/8225b180h3f59140.png
- cdn.hm.p####.####.com/f/pkg/ph/mid/000/004/151/8bfde474h3f58f73.png
- cdn.hm.p####.####.com/f/pkg/ph/mid/000/004/160/481a44d9h3f7a1ae.png
- cdn.hm.p####.####.com/f/pkg/ph/mid/000/004/269/7af75deah41266c2.png
- cdn.hm.p####.####.com/f/pkg/ph/mid/000/004/638/6d70fe9fh46c77b0.png
- cdn.hm.p####.####.com/f/pkg/ph/mid/000/004/864/b5261287h4a39c30.png
- cdn.hm.p####.####.com/f/pkg/ph/mid/000/004/986/353ef9ffh4c16078.png
- cdn.hm.p####.####.com/f/pkg/ph/mid/000/005/067/0b7bb6f3h4d527de.png
- cdn.hm.p####.####.com/f/pkg/ph/mid/000/005/067/1128b039h4d5283c.png
- cdn.hm.p####.####.com/f/pkg/ph/mid/000/005/067/2f987eddh4d52930.png
- cdn.hm.p####.####.com/f/pkg/ph/mid/000/005/067/4fe943a8h4d528db.png
- cdn.hm.p####.####.com/f/pkg/ph/mid/000/005/067/6d3c62b6h4d52764.png
- cdn.hm.p####.####.com/f/pkg/ph/mid/000/005/067/a130ee30h4d52889.png
- cdn.hm.p####.####.com/f/pkg/ph/mid/000/005/067/ac751bb1h4d52816.png
- cdn.hm.p####.####.com/f/pkg/ph/mid/000/005/067/e0e4915ch4d528f5.png
- cdn.hm.p####.####.com/f/pkg/ph/mid/000/005/152/3e3834fbh4e9eefc.png
- cdn.hm.p####.####.com/f/pkg/ph/mid/000/005/152/a4256995h4e9ef20.png
- cdn.hm.p####.####.com/f/pkg/ph/mid/000/005/152/f9022ed6h4e9ee7d.png
- cdn.hm.p####.####.com/f/pkg/ph/mid/000/005/168/d8f52f85h4edeaa8.png
- cdn.hm.p####.####.com/f/pkg/ph/mid/000/005/168/d9923fa1h4edea75.png
- cdn.hm.p####.####.com/f/pkg/ph/mid/000/005/617/6c996425h55b58c0.png
- cdn.hm.p####.####.com/f/pkg/ph/mid/000/005/707/b2db516bh5715068.png
- cdn.hm.p####.####.com/f/pkg/ph/mid/000/005/774/6fad89aeh581b7ca.png
- cdn.hm.p####.####.com/f/pkg/ph/mid/000/005/774/bafcf7d1h581b853.png
- cdn.hm.p####.####.com/f/pkg/ph/mid/000/005/774/cd0b1b10h581b683.png
- cdn.hm.p####.####.com/f/pkg/ph/mid/000/005/774/d4fe8087h581b7aa.png
- cdn.hm.p####.####.com/f/pkg/ph/mid/000/005/774/f5ebf72bh581b825.png
- cdn.hm.p####.####.com/f/pkg/ph/mid/000/007/689/2bc69921h7555992.png
- cdn.hm.p####.####.com/f/pkg/ph/mid/000/007/689/bdc13bbbh7555a8a.png
- cdn.hm.p####.####.com/f/pkg/ph/mid/000/007/689/de41dc6fh7555a44.png
- cdn.hm.p####.####.com/f/pkg/ph/mid/000/007/689/de9a7050h7555a75.png
- m####.vc####.cn/api/v2/mcore/sdk/cv?version_code=####&client_id=####
- m####.vc####.cn/log.vcgame.cn/api/v2/egame/log/config.json?app_key=####
Запросы HTTP POST:
- and####.b####.qq.com/rqd/async?aid=####
- m####.vc####.cn/log.vcgame.cn/api/v2/egame/log.json
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/059b4e9da145e31416145342e993c22d93adb0c1e2f0cd0....0.tmp
- /data/data/####/0b4b18a0428ce11ebeb201896a78587b5bb71ad19a7096c....0.tmp
- /data/data/####/0e7ed0a752453214eb49d585b7bf94c0bc3ea783e1ab37a....0.tmp
- /data/data/####/1004
- /data/data/####/2234d68e04c663827be77cfd3c1feb95d4d07e81b6b233f....0.tmp
- /data/data/####/291584c82c7e191fefa89265742cba9f6e5fbec5d6ab9bd....0.tmp
- /data/data/####/2ce85a002588d01a191aec919679259a73509d7c2ad50e5....0.tmp
- /data/data/####/30e3bae116ae103c9586a25d0c06c10a24e313df3de62fe....0.tmp
- /data/data/####/31f1eab492142b90943f3c279d0899b924215e29460a5d1....0.tmp
- /data/data/####/33823f46d355af98471e281352d24cbb54e3629ecaf349b....0.tmp
- /data/data/####/364d16c3f6cdbc57199e868e04d01ea20c9aaedecdf2876....0.tmp
- /data/data/####/3ff38aaf0c5b19ca94ab7bc311d9b7d465bc3cf759e1625....0.tmp
- /data/data/####/43cb7a1b3a3dd77e7ace5ce538d62ca3c68089509307d8c....0.tmp
- /data/data/####/475ffae3aa1470a1c21c00adf23c65f1419358977886f93....0.tmp
- /data/data/####/4f8992774454f21c02be20b233c427ee73b8946174318ce....0.tmp
- /data/data/####/5033d4b3cafdf2dba28ac8805f395fe4a3667f1bb2e0f72....0.tmp
- /data/data/####/573e980abffefc0ca79c2d1732081dfbb756c3eeb268114....0.tmp
- /data/data/####/6eee73203bbd4d937aa04193ced81ddd8dcf754bd75ee4f....0.tmp
- /data/data/####/79dafb4b0d0b79e6f153426e4e89efd4c09675f86f8dbbc....0.tmp
- /data/data/####/81cdaeaa85929c3f204862c591b41b31f6d93ae6211155d....0.tmp
- /data/data/####/82a4233bf060c7e9074d1979edcdcd6bd3edb90bd0dc0e6....0.tmp
- /data/data/####/8eed3e91d55b028b55144aa84297de9b6c7c5f1dae3d050....0.tmp
- /data/data/####/95865a32fc87fc66837f8add445e261c9de63d46cd91a53....0.tmp
- /data/data/####/9b80fcdfdc883006c8604d5a7475da8f32aab1918689ba8....0.tmp
- /data/data/####/9d596bbc5574f67155e855680a03a7b22a1e82eaee65f6b....0.tmp
- /data/data/####/EGAME_PAY_SDK.xml
- /data/data/####/EGAME_SDK.dat
- /data/data/####/EGAME_SDK.jar
- /data/data/####/Signature
- /data/data/####/a8967dd0e6075e9aefa0b8076b49a46a4831dbba31db6d1....0.tmp
- /data/data/####/abf258f3833e8026fa9a72b0fca092e0f8dfd26b541a8ec....0.tmp
- /data/data/####/ad_unit.xml
- /data/data/####/afa5a226d321055435a18e4ba7c6d3b18afe24c1d0f44a6....0.tmp
- /data/data/####/b685ba78707aff4dfca25c412abd0acbd8a233ff8282fc9....0.tmp
- /data/data/####/b9ae4997fd07479c9fa280de04997a0c235d9633f0b57b0....0.tmp
- /data/data/####/be242a52e4faed05e4962a7b1a6abb6beb3703590808ebe....0.tmp
- /data/data/####/be66a16b96e81bdee6020595cf9f9f143e02c3251ff7339....0.tmp
- /data/data/####/bugly_db_-journal
- /data/data/####/c282b02ff7a241748bb46bc616724678c13537db4a45209....0.tmp
- /data/data/####/c9dd1c28bbf7316e6c44f5dc4da139dd431271f1b72f5b4....0.tmp
- /data/data/####/cache_data.xml
- /data/data/####/cbff82036c72e82e427b9a3d8c9aed4a25adc6c0bf12b0d....0.tmp
- /data/data/####/cn.egame.terminal.client.dmg_preferences.xml
- /data/data/####/cn_egame_openapi_opt.xml
- /data/data/####/cn_egame_sdk_log.xml
- /data/data/####/crashrecord.xml
- /data/data/####/d2320a5141b8ce223c7c4055b182b3f0a5886f5e4612e3a....0.tmp
- /data/data/####/device_params.xml
- /data/data/####/e3bd51b240fc808237e32b64c7015f61a6c1c3d45b9f0f4....0.tmp
- /data/data/####/ea048abb83633b6588388d5e58bf85f5c1db15a9dc36ac5....0.tmp
- /data/data/####/ea171eba8b35651478c5cd7307da58ffc47da9d53d4ef6f....0.tmp
- /data/data/####/edd3db064dc6cca078152a207b8c79034998bbf8bbee938....0.tmp
- /data/data/####/egame-journal
- /data/data/####/egame_finger_print.png
- /data/data/####/egame_psh_temp.jar
- /data/data/####/egame_psh_temp_.jar
- /data/data/####/egame_s-1643738570.tmp
- /data/data/####/egame_sdk_1.png
- /data/data/####/egame_sdk_16.png
- /data/data/####/egame_sdk_25.png
- /data/data/####/egame_sdk_4.png
- /data/data/####/egame_sdk_9.png
- /data/data/####/egame_sdk_bg.9.png
- /data/data/####/egame_sdk_bg_pay.9.png
- /data/data/####/egame_sdk_bg_ticket_left.9.png
- /data/data/####/egame_sdk_bg_ticket_right.9.png
- /data/data/####/egame_sdk_btn_back_normal.9.png
- /data/data/####/egame_sdk_btn_back_pressed.9.png
- /data/data/####/egame_sdk_btn_gold_store.png
- /data/data/####/egame_sdk_btn_green_normal.9.png
- /data/data/####/egame_sdk_btn_green_pressed.9.png
- /data/data/####/egame_sdk_game_icon_default.png
- /data/data/####/egame_sdk_ico_bag.png
- /data/data/####/egame_sdk_ico_forum.png
- /data/data/####/egame_sdk_ico_list.png
- /data/data/####/egame_sdk_ico_question.png
- /data/data/####/egame_sdk_ico_raiders.png
- /data/data/####/egame_sdk_icon_back.png
- /data/data/####/egame_sdk_icon_close.png
- /data/data/####/egame_sdk_icon_loading.png
- /data/data/####/egame_sdk_icon_pack_up.png
- /data/data/####/egame_sdk_icon_password.png
- /data/data/####/egame_sdk_icon_rmb.png
- /data/data/####/egame_sdk_icon_selected.png
- /data/data/####/egame_sdk_icon_spread_out.png
- /data/data/####/egame_sdk_icon_ticket_more.png
- /data/data/####/egame_sdk_icon_unselected.png
- /data/data/####/egame_sdk_input_box.9.png
- /data/data/####/egame_sdk_logo_aibei.png
- /data/data/####/egame_sdk_logo_chongzhika.png
- /data/data/####/egame_sdk_logo_dianka.png
- /data/data/####/egame_sdk_logo_huafei.png
- /data/data/####/egame_sdk_logo_tianyijifen.png
- /data/data/####/egame_sdk_logo_weixin.png
- /data/data/####/egame_sdk_logo_yinlian.png
- /data/data/####/egame_sdk_logo_yizhifu.png
- /data/data/####/egame_sdk_logo_zhifubao.png
- /data/data/####/egame_sdk_password_input_box_left.9.png
- /data/data/####/egame_sdk_password_input_box_mid.9.png
- /data/data/####/egame_sdk_password_input_box_right.9.png
- /data/data/####/egame_sdk_popup_btn_blue_normal.9.png
- /data/data/####/egame_sdk_popup_btn_blue_pressed.9.png
- /data/data/####/egame_sdk_pressed.9.png
- /data/data/####/egame_sdk_tag_selected.9.png
- /data/data/####/egame_sdk_tag_unselected.9.png
- /data/data/####/egame_temp.jar
- /data/data/####/egame_temp_.jar
- /data/data/####/egamedown-journal
- /data/data/####/f7d6b8234ace251b034e0b595d87039b1345dfd35a903bd....0.tmp
- /data/data/####/fc551afc61ebf009eba573cb134e67fb46d3af08509d895....0.tmp
- /data/data/####/game.xml
- /data/data/####/journal
- /data/data/####/libcrypt_signT.so
- /data/data/####/libegamepay_private_dr2.so
- /data/data/####/libepsh_private_ar1.so
- /data/data/####/libjiagu-2046998033.so
- /data/data/####/local_crash_lock
- /data/data/####/log_params.xml
- /data/data/####/mcore_dat.xml
- /data/data/####/native_record_lock
- /data/data/####/phone_num_regular.xml
- /data/data/####/qq_info.xml
- /data/data/####/raiyi_flow_hall.xml
- /data/data/####/security_info
- /data/media/####/.e3e8baa8280c718e9054264058d51c31.png
- /data/media/####/am
- /data/media/####/amj
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop
- getprop
Загружает динамические библиотеки:
- Bugly
- egamepay_dr2
- libegamepay_private_dr2
- libepsh_private_ar1
- libjiagu-2046998033
Использует следующие алгоритмы для шифрования данных:
- AES
- AES-GCM-NoPadding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES
- AES-GCM-NoPadding
- RSA-ECB-PKCS1Padding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
