Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(HTTP/1.1) a####.exc.mob.com:80
- TCP(HTTP/1.1) www.gancao####.com:80
- TCP(TLS/1.0) instant####.google####.com:443
- TCP(TLS/1.0) 1####.217.19.206:443
- TCP(TLS/1.0) res####.a####.com:443
- TCP(TLS/1.0) and####.google####.com:443
- TCP(TLS/1.2) 1####.217.17.74:443
- TCP 1####.217.17.42:443
Запросы DNS:
- a####.exc.mob.com
- and####.google####.com
- instant####.google####.com
- res####.a####.com
- www.gancao####.com
Запросы HTTP GET:
- www.gancao####.com/appMedicalFiles/userFiles/16ff33466f0d4e919da3b15df36...
- www.gancao####.com/appMedicalFiles/userFiles/ac828ef6f0294214aee92d0b675...
- www.gancao####.com/appMedicalFiles/userFiles/cdb2bda19fd740ff850e1334192...
- www.gancao####.com/appMedicalFiles/userFiles/doctor_default.jpg
Запросы HTTP POST:
- a####.exc.mob.com/errconf
- www.gancao####.com/medicalLicoriceApi/2001
- www.gancao####.com/medicalLicoriceApi/31400
- www.gancao####.com/medicalLicoriceApi/339
- www.gancao####.com/medicalLicoriceApi/44
- www.gancao####.com/medicalLicoriceApi/50004
- www.gancao####.com/medicalLicoriceApi/90
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.artc_lock
- /data/data/####/.at_lock
- /data/data/####/.dic_lock
- /data/data/####/.duid
- /data/data/####/.globalLock
- /data/data/####/.im_lock
- /data/data/####/.jg.ic
- /data/data/####/.jgck
- /data/data/####/.lesd_lock
- /data/data/####/.lock
- /data/data/####/.pg_lock
- /data/data/####/.pgs_lock
- /data/data/####/.vpl_lock
- /data/data/####/26151081544525.0
- /data/data/####/62e2b3a00e8c2b72cd96451be810cb5f.0
- /data/data/####/Licorice.xml
- /data/data/####/ThrowalbeLog.db-journal
- /data/data/####/alsn20170807.db
- /data/data/####/alsn20170807.db-journal
- /data/data/####/bc87e83d36537ee8059c27a5967faf61e7f0d8482e771f5....0.tmp
- /data/data/####/bd099ae52bc193fe2a8f8d30f33029b9eee1827d6c004bd....0.tmp
- /data/data/####/c0586a10777146560765a69231d89beb.xml
- /data/data/####/ce04bd8105c135f89b0dfd5d9c1e8c5d
- /data/data/####/classes.dex
- /data/data/####/classes.dex;classes2.dex
- /data/data/####/classes.dex;classes3.dex
- /data/data/####/classes.oat
- /data/data/####/dso_deps
- /data/data/####/dso_lock
- /data/data/####/dso_manifest
- /data/data/####/dso_state
- /data/data/####/e2aea0d4a4fb1b90ba01bdac2fc4a2c0.0
- /data/data/####/ef178eddc9556fb817a7a7278644a952ca346831d9b07cd....0.tmp
- /data/data/####/f8e05e300767c158584b67d444903ee44d775efb60f3d2b....0.tmp
- /data/data/####/hmdb
- /data/data/####/hmdb-journal
- /data/data/####/journal
- /data/data/####/journal.tmp
- /data/data/####/k.store
- /data/data/####/libjiagu.so
- /data/data/####/logdb.db
- /data/data/####/logdb.db-journal
- /data/data/####/mob_commons_1
- /data/data/####/mob_sdk_exception_1
- /data/data/####/pref.xml
- /data/misc/####/primary.prof
Другие:
Запускает следующие shell-скрипты:
- /system/bin/dex2oat --instruction-set=x86 --dex-file=<Package Folder>/.jiagu/classes.dex --dex-file=<Package Folder>/.jiagu/classes.dex:classes2.dex --dex-file=<Package Folder>/.jiagu/classes.dex:classes3.dex --oat-file=<Package Folder>/.jiagu/classes.oat --inline-depth-limit=0 --compiler-filter=speed
- cat /sys/class/net/wlan0/address
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-ECB-PKCS5Padding
- RSA
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-ECB-PKCS5Padding
- RSA-ECB-PKCS1Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Отрисовывает собственные окна поверх других приложений.
