Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) 47.2####.48.229:80
- TCP(HTTP/1.1) a1.eas####.com:80
- TCP(TLS/1.0) 1####.92.145.58:443
Запросы DNS:
- a1.eas####.com
Запросы HTTP POST:
- a1.eas####.com/91510100069750723e/syylg/devices
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.APIcloud
- /data/data/####/.jg.ic
- /data/data/####/1.png
- /data/data/####/2.png
- /data/data/####/UzAppStorage.xml
- /data/data/####/UzLocalStorage.xml
- /data/data/####/about-logo.png
- /data/data/####/act_href.html
- /data/data/####/act_info.html
- /data/data/####/act_list.html
- /data/data/####/activity-more.png
- /data/data/####/activity.html
- /data/data/####/activity.png
- /data/data/####/activity_act.png
- /data/data/####/ad.html
- /data/data/####/ad.png
- /data/data/####/add_ship.html
- /data/data/####/address.html
- /data/data/####/adr_area.html
- /data/data/####/adr_edit.html
- /data/data/####/adr_list.html
- /data/data/####/adr_list_head.html
- /data/data/####/analytics_run_info.xml
- /data/data/####/api.css
- /data/data/####/api.js
- /data/data/####/area.js
- /data/data/####/arrow.png
- /data/data/####/aui-dialog.js
- /data/data/####/aui-iconfont.2.0.ttf
- /data/data/####/aui-slide.css
- /data/data/####/aui-slide.js
- /data/data/####/aui-tab.js
- /data/data/####/aui.2.0.css
- /data/data/####/bg_1.jpg
- /data/data/####/bg_2.jpg
- /data/data/####/class_head.html
- /data/data/####/class_list.html
- /data/data/####/class_menu.html
- /data/data/####/clip.html
- /data/data/####/com.moyun.youlegou_preferences.xml
- /data/data/####/comment_edit.html
- /data/data/####/comment_info.html
- /data/data/####/common_article.html
- /data/data/####/common_article_hongjiao.html
- /data/data/####/common_article_shiyan.html
- /data/data/####/config.xml
- /data/data/####/demo.css
- /data/data/####/demo.html
- /data/data/####/device_id.xml.xml
- /data/data/####/easemob.sdk.pref.xml
- /data/data/####/ed.png
- /data/data/####/error.png
- /data/data/####/ewm.png
- /data/data/####/expert.html
- /data/data/####/expert.jpg
- /data/data/####/expert.png
- /data/data/####/expert_act.png
- /data/data/####/expert_fixed.html
- /data/data/####/feedback.html
- /data/data/####/gd.png
- /data/data/####/gf.png
- /data/data/####/gs.png
- /data/data/####/home.html
- /data/data/####/home.png
- /data/data/####/home_act.png
- /data/data/####/home_frame.html
- /data/data/####/huanxin.js
- /data/data/####/hx.png
- /data/data/####/icon150x150.png
- /data/data/####/iconfont.css
- /data/data/####/iconfont.eot
- /data/data/####/iconfont.svg
- /data/data/####/iconfont.ttf
- /data/data/####/iconfont.woff
- /data/data/####/img-loading.png
- /data/data/####/img-loading2.png
- /data/data/####/index.html
- /data/data/####/index.js
- /data/data/####/js.png
- /data/data/####/jt.png
- /data/data/####/lading.png
- /data/data/####/launch1080x1920.png
- /data/data/####/libjiagu.so
- /data/data/####/loading_more.gif
- /data/data/####/login.css
- /data/data/####/login.html
- /data/data/####/login.js
- /data/data/####/loginMsg.html
- /data/data/####/loginPwd.html
- /data/data/####/login_log.png
- /data/data/####/login_log1.png
- /data/data/####/logistics.html
- /data/data/####/logo.png
- /data/data/####/main.css
- /data/data/####/main.html
- /data/data/####/main.js
- /data/data/####/member_bg.jpg
- /data/data/####/members.html
- /data/data/####/members_info.html
- /data/data/####/message_info.html
- /data/data/####/message_list.html
- /data/data/####/message_list_head.html
- /data/data/####/money.jpg
- /data/data/####/ms.png
- /data/data/####/msg1.png
- /data/data/####/msg2.png
- /data/data/####/msg3.png
- /data/data/####/msg4.png
- /data/data/####/my.html
- /data/data/####/my.png
- /data/data/####/my_act.png
- /data/data/####/my_income.html
- /data/data/####/my_income_head.html
- /data/data/####/my_modify.html
- /data/data/####/my_profits.html
- /data/data/####/my_setting.html
- /data/data/####/my_team_list.html
- /data/data/####/my_team_list_head.html
- /data/data/####/my_trading.html
- /data/data/####/no-img.png
- /data/data/####/ny.png
- /data/data/####/ok.png
- /data/data/####/order_info.html
- /data/data/####/order_info_head.html
- /data/data/####/order_list.html
- /data/data/####/order_list_head.html
- /data/data/####/pa.png
- /data/data/####/pay-press.js
- /data/data/####/pf.png
- /data/data/####/picture.html
- /data/data/####/picture_menu.html
- /data/data/####/picture_top.html
- /data/data/####/pushgetui.js
- /data/data/####/register.html
- /data/data/####/resetPwd.html
- /data/data/####/sale_over.png
- /data/data/####/sales_apply_edit.html
- /data/data/####/sales_info.html
- /data/data/####/sao.png
- /data/data/####/search.html
- /data/data/####/search_head.html
- /data/data/####/seckill_list.html
- /data/data/####/seckill_list_head.html
- /data/data/####/send.png
- /data/data/####/send_act.png
- /data/data/####/share.html
- /data/data/####/share.png
- /data/data/####/shareweb.html
- /data/data/####/shop_info.html
- /data/data/####/shop_info_alert.html
- /data/data/####/shop_info_head.html
- /data/data/####/shop_list.html
- /data/data/####/shop_list_head.html
- /data/data/####/shop_pay.html
- /data/data/####/shop_pay_call.html
- /data/data/####/shop_submit.html
- /data/data/####/shopping-swipe-blank.png
- /data/data/####/style.css
- /data/data/####/swiper-3.3.1.jquery.min.js
- /data/data/####/swiper-3.3.1.min.css
- /data/data/####/team_error.html
- /data/data/####/team_failure.html
- /data/data/####/team_list.html
- /data/data/####/team_list_head.html
- /data/data/####/team_order_info.html
- /data/data/####/team_order_info_head.html
- /data/data/####/title.html
- /data/data/####/transparent.png
- /data/data/####/tx_bank.html
- /data/data/####/tx_form.html
- /data/data/####/tx_list.html
- /data/data/####/tx_list_head.html
- /data/data/####/tx_tixian.html
- /data/data/####/upload-img.png
- /data/data/####/user.jpg
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/webviewCookiesChromiumPrivate.db-journal
- /data/data/####/weixin.png
- /data/data/####/welcome_1.html
- /data/data/####/welcome_frame_1.html
- /data/data/####/welcome_frame_2.html
- /data/data/####/welcome_frame_ed.html
- /data/data/####/wx-share-recommend.png
- /data/data/####/wx-share-recommend1.png
- /data/data/####/wx.png
- /data/data/####/xy.png
- /data/data/####/zepto.min.js
- /data/data/####/zg.png
- /data/data/####/zhifubao.png
- /data/data/####/zs.png
- /data/data/####/zx.png
- /data/media/####/.nomedia
- /data/media/####/000.html
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
Загружает динамические библиотеки:
- libjiagu
- sec
Использует следующие алгоритмы для шифрования данных:
- AES-ECB-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-ECB-PKCS5Padding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Отрисовывает собственные окна поверх других приложений.
