Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(HTTP/1.1) amap####.cn-hang####.oss####.####.com:80
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(TLS/1.0) wild####.go-mp####.net.####.net:443
- TCP(TLS/1.0) s3.ps####.com:443
- TCP(TLS/1.0) 1####.217.17.42:443
- TCP(TLS/1.0) all.toutiao####.l.####.net:443
- TCP(TLS/1.0) wildca####.go-mp####.net.####.net:443
- TCP(TLS/1.0) at####.al####.com:443
- TCP(TLS/1.0) safebro####.google####.com:443
- TCP(TLS/1.0) 2####.58.211.106:443
- TCP(TLS/1.0) p9.ps####.com.####.com:443
- TCP(TLS/1.0) ad-sh-s####.wagbr####.t####.####.com:443
- TCP(TLS/1.0) sf1-ttc####.ps####.com:443
- TCP(TLS/1.0) api.shu####.com:443
- TCP(TLS/1.0) 1####.217.168.238:443
- TCP(TLS/1.0) res####.a####.com:443
- TCP(TLS/1.0) a####.wagbr####.ta####.####.com:443
- TCP(TLS/1.0) m.tou####.com.####.net:443
- TCP(TLS/1.0) sess####.bug####.com:443
- TCP(TLS/1.0) idv####.qini####.com:443
- TCP(TLS/1.0) no####.bug####.com:443
- TCP(TLS/1.0) www.tou####.com.####.net:443
- TCP(TLS/1.0) pco####.t####.com:443
- TCP(TLS/1.0) s3a.ps####.com:443
- TCP(TLS/1.0) android####.go####.com:443
- TCP(TLS/1.0) p####.google####.com:443
- TCP(TLS/1.0) www.google####.com:443
- TCP(TLS/1.0) voledev####.google####.com:443
- TCP(TLS/1.0) log.mm####.com:443
- TCP(TLS/1.2) 1####.217.168.238:443
- TCP(TLS/1.2) 1####.217.17.42:443
- TCP(TLS/1.2) 2####.58.211.106:443
- TCP(TLS/1.2) 1####.217.168.195:443
- TCP(TLS/1.2) p####.google####.com:443
- TCP(TLS/1.2) 1####.217.168.202:443
Запросы DNS:
- a####.al####.com
- a####.u####.com
- a1.al####.com
- amap####.cn-hang####.oss####.####.com
- android####.go####.com
- api.shu####.com
- at####.al####.com
- c.go-mp####.net
- cryptau####.google####.com
- df.t####.com
- gma.al####.com
- img.al####.com
- log.mm####.com
- m####.go####.com
- m.s####.ta####.com
- m.tou####.com
- mcs.sn####.com
- no####.bug####.com
- o####.t####.com
- p####.google####.com
- p.t####.com
- p1.ps####.com
- p3.ps####.com
- p9.ps####.com
- pco####.t####.com
- phs.t####.com
- res####.a####.com
- s####.al####.com
- s.go-mp####.net
- s3.ps####.com
- s3a.ps####.com
- s3b.ps####.com
- safebro####.google####.com
- sess####.bug####.com
- sf1-ttc####.ps####.com
- shuidao####.qn.shu####.com
- u####.ps####.com
- ve####.sn####.com
- voledev####.google####.com
- www.google####.com
- www.tou####.com
Запросы HTTP GET:
- amap####.cn-hang####.oss####.####.com/sdkcoor/android/armeabi-v7a/libJni...
Запросы HTTP POST:
- a####.u####.com/app_logs
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/.jgck
- /data/data/####/0137096a4315fd98_0
- /data/data/####/0148e965d4add3e1_0
- /data/data/####/0194abc043614339_0
- /data/data/####/01f219e4da7bf079_0
- /data/data/####/02efc39e76373e90_0
- /data/data/####/03fbc8dc03ed122e_0
- /data/data/####/040c62543aa6337a_0
- /data/data/####/04cd01c6d3093fab_0
- /data/data/####/056abf2840797f34_0
- /data/data/####/060c3c3632ae368c_0
- /data/data/####/060c3c3632ae368c_1
- /data/data/####/060f8d3d65193fc9_0
- /data/data/####/06478ae8498ecb29_0
- /data/data/####/06ca2d84df83fead_0
- /data/data/####/087feae9525d857c_0
- /data/data/####/09b6811dcb4f014d_0
- /data/data/####/09f53aef943b1809_0
- /data/data/####/10bb6b37e324f389a8ec6bbfd0dcb70b.0.tmp
- /data/data/####/10bb6b37e324f389a8ec6bbfd0dcb70b.1
- /data/data/####/11189fa449dbaf5c_0
- /data/data/####/13dc7e1f80a42d1b_0
- /data/data/####/14b03513a916c80a_0
- /data/data/####/153bc40c1e8f0baa_0
- /data/data/####/1591e3939665254e_0
- /data/data/####/176a1b561a49b652_0
- /data/data/####/197f27dbceee3d87_0
- /data/data/####/19c73a23b797af3a_0
- /data/data/####/19ec2dabf9d6e39a_0
- /data/data/####/1UWazA6_UJCC6ISdlJ5gctAbLzg.cnt
- /data/data/####/1b1a44440fbb5896_0
- /data/data/####/1ba94e50c2f4ef93_0
- /data/data/####/1bcb05bda7ecbf05_0
- /data/data/####/1e7360d40ed4fa63_0
- /data/data/####/1eaed17a48e3f22f_0
- /data/data/####/20444a5487576ccf_0
- /data/data/####/218d3a33b208588e_0
- /data/data/####/2192e6153d0f070b_0
- /data/data/####/2218783b630b858a_0
- /data/data/####/229c2716d0728f48_0
- /data/data/####/22bb2d948548bae8_0
- /data/data/####/29c2aa1b3049b02aabf831791f5eecfd.0.tmp
- /data/data/####/29c2aa1b3049b02aabf831791f5eecfd.1.tmp
- /data/data/####/2ab3f842539fd7a4_0
- /data/data/####/2bd84050a50e51be_0
- /data/data/####/2f7320783b4fd122_0
- /data/data/####/2tM4wDIPc3yMyWBTXGIWVJ__2qA.1267493730.tmp
- /data/data/####/329c8c02f6609375_0
- /data/data/####/33466b21f80c0954_0
- /data/data/####/33466b21f80c0954_1
- /data/data/####/3475f9a9a9bdc8d8_0
- /data/data/####/353197cc2373bb20_0
- /data/data/####/35d2bb92472ac153_0
- /data/data/####/35d2bb92472ac153_1
- /data/data/####/37d08c62b03d9369_0
- /data/data/####/3c5d2bfb623fd7a3_0
- /data/data/####/3c94e117ccdaadff_0
- /data/data/####/4122ce100a0125ca_0
- /data/data/####/4122ce100a0125ca_1
- /data/data/####/42fc899704669f14_0
- /data/data/####/483bb68ca116fbd0_0
- /data/data/####/487a8a3aaf28ca7d_0
- /data/data/####/4986ed63d2fb147eaa4279af2278e592.0.tmp
- /data/data/####/4986ed63d2fb147eaa4279af2278e592.1.tmp
- /data/data/####/4b6d13779259f0f0_0
- /data/data/####/4c7672b65a68ef10_0
- /data/data/####/4d3b983fb674c3d9_0
- /data/data/####/4da7e847fe8876d8_0
- /data/data/####/4e1b27ec51ce54bc_0
- /data/data/####/4eaf6bd410816886_0
- /data/data/####/4fa244320d73789b_0
- /data/data/####/500582301fdb79c1_0
- /data/data/####/508c9b3ac029eac5_0
- /data/data/####/508c9b3ac029eac5_1
- /data/data/####/537236dbe8da504d_0
- /data/data/####/546c8a3b55c9fa24_0
- /data/data/####/546c8a3b55c9fa24_1
- /data/data/####/54cdc4046fcbb889_0
- /data/data/####/54e57d75a84d6f2b_0
- /data/data/####/550a94157f53c205_0
- /data/data/####/56b5f0f5fc480aa8_0
- /data/data/####/56b5f0f5fc480aa8_1
- /data/data/####/57c1aadd1f9fdfc6_0
- /data/data/####/58bf2a7be7f26c58_0
- /data/data/####/5c8b9610d65c8d13_0
- /data/data/####/5da990fd6a24e6df_0
- /data/data/####/5e5f9320e989432d_0
- /data/data/####/5e5f9320e989432d_1
- /data/data/####/60f1bdc86e70bcfa_0
- /data/data/####/61d5b31925a5d258_0
- /data/data/####/65046d373afd328d_0
- /data/data/####/65aab6153a6cf975_0
- /data/data/####/669a0bd3a439c8c6_0
- /data/data/####/674108b206213cff_0
- /data/data/####/68be02b3b5bbfece_0
- /data/data/####/6970270eae405825_0
- /data/data/####/6b8b16bad9394365_0
- /data/data/####/6ba810b61b51f608_0
- /data/data/####/6bf80add8d9523e7_0
- /data/data/####/6cf2086967bc598d_0
- /data/data/####/6e8f61a34477e179_0
- /data/data/####/6f3e516d60c78e6d_0
- /data/data/####/6fe6bb516e1371c0_0
- /data/data/####/71f041e82acec5f4_0
- /data/data/####/728b543f30faf005_0
- /data/data/####/735e1d806bc2156b_0
- /data/data/####/742357c2b46c821e_0
- /data/data/####/761997d3e6472aaa_0
- /data/data/####/77786e4ae351044b_0
- /data/data/####/77ee4b0c0bcffc0a_0
- /data/data/####/781982b4837a150c_0
- /data/data/####/795dc66635660fc5_0
- /data/data/####/79ecfff7bb53ed95_0
- /data/data/####/7aa11b340c21cf93_0
- /data/data/####/7aa11b340c21cf93_1
- /data/data/####/8021b4db3e05becb_0
- /data/data/####/83865ed1ed928315_0
- /data/data/####/8513b614f49cfe59_0
- /data/data/####/851cdd1fd27bfb18_0
- /data/data/####/8594fe9f545175d2_0
- /data/data/####/86ae418ba298322b_0
- /data/data/####/8b7a5984535a84bb_0
- /data/data/####/8bffefc75988c60be891b008c0e4d681.0.tmp
- /data/data/####/8bffefc75988c60be891b008c0e4d681.1.tmp
- /data/data/####/8c381ff4bce5c5e5_0
- /data/data/####/8c381ff4bce5c5e5_1
- /data/data/####/8c48634afc532a10_0
- /data/data/####/8c48634afc532a10_1
- /data/data/####/8cc0291c49227d4f_0
- /data/data/####/8d0f5113838b529e_0
- /data/data/####/8d87d68ccfbd5e35_0
- /data/data/####/8e92a3ad9541ea2f_0
- /data/data/####/90eaf4547e1c7edc_0
- /data/data/####/96d8a9889b29d5c3_0
- /data/data/####/97464621473bd257_0
- /data/data/####/98f11a69a19b8356_0
- /data/data/####/999ff1f2318e8653_0
- /data/data/####/9a93b061bedaeb35_0
- /data/data/####/9b020682c1d0c01a_0
- /data/data/####/9c37d094a06972f0_0
- /data/data/####/9c8e8acb31a9be19_0
- /data/data/####/9dbd6d3466970e2e_0
- /data/data/####/AVQfRSTemg0NxwKlwIjT6q2it7U.986762715.tmp
- /data/data/####/Cookies-journal
- /data/data/####/RKStorage-journal
- /data/data/####/WebViewChromiumPrefs.xml
- /data/data/####/a019cc871887023f_0
- /data/data/####/a16ae5d607fa0756_0
- /data/data/####/a18550ad267d53c4_0
- /data/data/####/a1d819cdc56a9a0b_0
- /data/data/####/a1e4871bff497c92_0
- /data/data/####/a1e4871bff497c92_1
- /data/data/####/a1e4871bff497c92_1 (deleted)
- /data/data/####/a225819bf38e4d62_0
- /data/data/####/a3e1fe683f7ee648_0
- /data/data/####/a4640994f478c6e4_0
- /data/data/####/a4640994f478c6e4_1
- /data/data/####/a4ee22b50675370d_0
- /data/data/####/a4f57acf904accfb_0
- /data/data/####/a5a5e7a5770fe761_0
- /data/data/####/a5a5e7a5770fe761_1
- /data/data/####/a6959181e432ee44_0
- /data/data/####/a835eb27aecd9739_0
- /data/data/####/a88709ad7da26041_0
- /data/data/####/aa0e77edc75c0df2_0
- /data/data/####/aa2dec76cbe38914_0
- /data/data/####/aa4f6615d65623d5_0
- /data/data/####/ab39a8a5fb6e8da5_0
- /data/data/####/ab889ba84f30184f_0
- /data/data/####/ad543c208de0b54b_0
- /data/data/####/ad8917ca49acdd7d_0
- /data/data/####/ade7b4088a101225_0
- /data/data/####/ae0e7de07d2cc037_0
- /data/data/####/ae841464da6241b0_0
- /data/data/####/aed7a8a2d163eb28_0
- /data/data/####/afdab73a5cf2eb7f_0
- /data/data/####/b02ef3fe8081e393_0
- /data/data/####/b1ef81744bc9352c_0
- /data/data/####/b27b1b92bed9c1b0_0
- /data/data/####/ba8bcc48d15a596e_0
- /data/data/####/ba8bcc48d15a596e_1
- /data/data/####/bb65adb1a8f22d67_0
- /data/data/####/bc03ac2c14d03483c134a0febd45375b.0.tmp
- /data/data/####/bc03ac2c14d03483c134a0febd45375b.1.tmp
- /data/data/####/bc5b026153c6a54b_0
- /data/data/####/bd923ced27590976_0
- /data/data/####/bffa917dc5faf8d1_0
- /data/data/####/c08ac016dd2f5c40_0
- /data/data/####/c0f20dfe0dfaf2f8_0
- /data/data/####/c125398e4c745a5a_0
- /data/data/####/c140b5fc1def70e8_0
- /data/data/####/c1911707d4ff35d6_0
- /data/data/####/c2c7b9b4a1c268c2_0
- /data/data/####/c2c7b9b4a1c268c2_1
- /data/data/####/c62d56b1adad949c_0
- /data/data/####/c639c8c71028311f_0
- /data/data/####/c639c8c71028311f_1
- /data/data/####/c6f9c3c156b6490d_0
- /data/data/####/c8b8bbf3f9f75898_0
- /data/data/####/c8e2b48e13bd9504_0
- /data/data/####/c9c7ba45ac9dfadc_0
- /data/data/####/cbb2d3235ed1f567_0
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/cc16504a1c51f9e5_0
- /data/data/####/cc9a699f0eed2227_0
- /data/data/####/cf57ea13cf6fa528_0
- /data/data/####/cf57ea13cf6fa528_1
- /data/data/####/classes.dex
- /data/data/####/classes.dex;classes2.dex
- /data/data/####/classes.dex;classes3.dex
- /data/data/####/com.bugsnag.android.xml
- /data/data/####/com.google.InstanceId.properties
- /data/data/####/com.google.android.gms.appid-no-backup
- /data/data/####/com.google.android.gms.appid.xml
- /data/data/####/com.shuidao.daotiantoc_preferences.xml
- /data/data/####/d09c54085d6ea812_0
- /data/data/####/d24e1438b274179f_0
- /data/data/####/d28a47e6df0601b4_0
- /data/data/####/d79caf3e78591d68_0
- /data/data/####/d7d54a63eb6fa875_0
- /data/data/####/d84d87b5d381edac_0
- /data/data/####/d95dc60d80eafbd4_0
- /data/data/####/d96d3cc74831280b_0
- /data/data/####/da4bcd28639d02c9_0
- /data/data/####/dbda6d6de5107820_0
- /data/data/####/ddd75024b1623593_0
- /data/data/####/df780b778af88264_0
- /data/data/####/dso_deps
- /data/data/####/dso_lock
- /data/data/####/dso_manifest
- /data/data/####/dso_state
- /data/data/####/e2d8431c0743911a_0
- /data/data/####/e3909636fdc92897_0
- /data/data/####/e39cef22c24cdf61_0
- /data/data/####/e40016b5144d41e3_0
- /data/data/####/e58238462450431e_0
- /data/data/####/e6208c73b933844bba0282ef6b298eed.0
- /data/data/####/e6208c73b933844bba0282ef6b298eed.1
- /data/data/####/e677fc935314712a_0
- /data/data/####/e6b1cbda54eb2dce_0
- /data/data/####/e6bf9c355b12520b_0
- /data/data/####/e7c4e56cabbbe64a_0
- /data/data/####/ec7983efb7c854c1_0
- /data/data/####/ed26dc89397b80b1_0
- /data/data/####/eea200c185e13a71_0
- /data/data/####/eea200c185e13a71_1
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/f5135694dfd71f5d_0
- /data/data/####/f70ad88f525d7301_0
- /data/data/####/f70ad88f525d7301_1
- /data/data/####/fa06e7455e890c47_0
- /data/data/####/fa06e7455e890c47_1
- /data/data/####/faf54a302a0acf4c_0
- /data/data/####/fc90b32193ad8895_0
- /data/data/####/fcefd72fb6dd2b1e_0
- /data/data/####/fe74e2c4a0d6f5e9_0
- /data/data/####/geofencing.db
- /data/data/####/geofencing.db-journal
- /data/data/####/hmdb
- /data/data/####/hmdb-journal
- /data/data/####/https_phs.tanx.com_0.localstorage-journal
- /data/data/####/https_www.toutiao.com_0.localstorage-journal
- /data/data/####/index
- /data/data/####/journal
- /data/data/####/journal.tmp
- /data/data/####/libbd_wsp_v1_0.so
- /data/data/####/libbugsnag-ndk.so
- /data/data/####/libc++_shared.so
- /data/data/####/libentryexpro.so
- /data/data/####/libfb.so
- /data/data/####/libfolly_json.so
- /data/data/####/libgifimage.so
- /data/data/####/libglog.so
- /data/data/####/libglog_init.so
- /data/data/####/libimagepipeline.so
- /data/data/####/libjiagu.so
- /data/data/####/libjsc.so
- /data/data/####/libjscexecutor.so
- /data/data/####/libjsinspector.so
- /data/data/####/libpingpp.so
- /data/data/####/libreactnativejni.so
- /data/data/####/libuptsmaddon.so
- /data/data/####/libwgs2gcj.so
- /data/data/####/libyoga.so
- /data/data/####/logdb.db
- /data/data/####/logdb.db-journal
- /data/data/####/metrics_guid
- /data/data/####/mipush_extra.xml
- /data/data/####/mipush_region
- /data/data/####/mipush_region.lock
- /data/data/####/muqYYlPCPikvzFFoeFPUEFoBzVY.1998815687.tmp
- /data/data/####/pref.xml
- /data/data/####/the-real-index
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/y3dFbtl7T897TmmTJR6QIOQ4dZo.204811508.tmp
- /data/media/####/als.db
- /data/media/####/als.db-journal
- /data/misc/####/primary.prof
Другие:
Запускает следующие shell-скрипты:
- /system/bin/dex2oat --instruction-set=x86 --dex-file=<Package Folder>/.jiagu/classes.dex --dex-file=<Package Folder>/.jiagu/classes.dex:classes2.dex --dex-file=<Package Folder>/.jiagu/classes.dex:classes3.dex --oat-file=<Package Folder>/.jiagu/classes.oat --inline-depth-limit=0 --compiler-filter=speed
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Отрисовывает собственные окна поверх других приложений.
Управляет Wi-Fi-подключением.
