Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Gexin.1
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) ti####.c####.l####.####.com:80
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) c-h####.g####.com:80
- TCP(HTTP/1.1) l####.tbs.qq.com:80
- TCP(HTTP/1.1) sh####.360t####.com:80
- TCP(HTTP/1.1) s.3####.cn:80
- TCP(HTTP/1.1) c.appj####.com:80
- TCP(HTTP/1.1) cdn-sdk####.g####.com.####.com:80
- TCP(HTTP/1.1) ope####.mob####.360.cn:80
- TCP(HTTP/1.1) api.hzg####.com:80
- TCP(HTTP/1.1) sdk.o####.p####.####.com:80
- TCP(HTTP/1.1) d####.c####.l####.####.com:80
- TCP sdk.o####.t####.####.com:5224
- TCP cm-1####.g####.com:5224
Запросы DNS:
- 7j####.c####.z0.####.com
- a####.u####.com
- api.hzg####.com
- c-h####.g####.com
- c.appj####.com
- c.sz.gt.####.com
- cdn-sdk####.g####.com
- cm-1####.g####.com
- hwj-sta####.1gou####.cn
- l####.tbs.qq.com
- mt####.go####.com
- ope####.mob####.360.cn
- s.3####.cn
- sdk.c####.g####.com
- sdk.o####.i####.####.com
- sdk.o####.p####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
- sh####.360t####.com
Запросы HTTP GET:
- cdn-sdk####.g####.com.####.com/tdata_wyu452
- d####.c####.l####.####.com/config/hzv9.conf
- ope####.mob####.360.cn/index/upgrade?package=####&version=####&apk_versi...
- s.3####.cn/appstore/info.htm?package=####&apkversion=####&apk_version=##...
- sdk.o####.p####.####.com/api/addr.htm
- sh####.360t####.com/160422/57b92647917cce029e2634ba82d77e69/libpatch.so
- sh####.360t####.com/160422/7bcec7e7c45683a01b4ffc5c68c66f94/libpatch1.so
- ti####.c####.l####.####.com/tdata_VrM483
Запросы HTTP POST:
- a####.u####.com/app_logs
- api.hzg####.com/
- c-h####.g####.com/api.php?format=####&t=####
- c.appj####.com/ad/splash/stats.html
- l####.tbs.qq.com/ajax?c=####&k=####
- sdk.o####.p####.####.com/api.php?format=####&t=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/080baed39b2152655496b090ba9d59f2.png
- /data/data/####/094e6629f8a0951576d6659451c0a11d.jpg
- /data/data/####/11fc4d592899ff40bfac479260c523f9.png
- /data/data/####/164dcdcfb1443aaf514b724110834d0e.png
- /data/data/####/1c6090544ba90aaa37a7d477074002bc.png
- /data/data/####/25804797a2f9e2858067fa59b848cf98.png
- /data/data/####/2b13d4ad7fd0d3edb8b1bd3a21cbf5a8.jpg
- /data/data/####/2d119d523fcdc019973526a284cb6ed2.jpg
- /data/data/####/2f4e96618251d80230097a8647135fc6.png
- /data/data/####/40c93515adbfe243e7d13f248bb38c1d.png
- /data/data/####/45f3bdfe1f3edbb8b41dd9d5cf391fcc.png
- /data/data/####/474787d1657b78a82d75b791c120982d.png
- /data/data/####/4d5c3d5e4c0793d5692c669f97045468.png
- /data/data/####/5174134781911267839
- /data/data/####/6bbbf9d28c034a15c27cf59b025a0a59.png
- /data/data/####/6d822821e85a774ccdf4fbd7a3ac19dc.png
- /data/data/####/82eeeed2c442d6d732738e39f791fbca.png
- /data/data/####/8ffa0751a55ba9f8296655c4248b1cc4.png
- /data/data/####/90062eb67f82da80811194ed8826b3bc.jpg
- /data/data/####/951eb0c0e983713be5a0eae95d93e0ba.png
- /data/data/####/97f1e7c87dc51eadbe69037f4e797232.png
- /data/data/####/9d9ffa24e335f728eeeadd960efc4647.png
- /data/data/####/LegoPageletLoader_75c4d5c.js
- /data/data/####/a6908114f37ecba66d77699b15bdc90d.png
- /data/data/####/activity-detail.html
- /data/data/####/activity-list.html
- /data/data/####/activity-order-detail.html
- /data/data/####/ad.jpg
- /data/data/####/ad_show_time.xml
- /data/data/####/additional-evaluate.html
- /data/data/####/address-edit.html
- /data/data/####/address-list.html
- /data/data/####/aes.js
- /data/data/####/app.js
- /data/data/####/auction-agreement.html
- /data/data/####/auction-earnest-money.html
- /data/data/####/auction-goods-detail.html
- /data/data/####/auction-list.html
- /data/data/####/auction-record-list.html
- /data/data/####/b0d19806e96f69ced0c26057d0ca2368.png
- /data/data/####/b2cf0c5006a1af6859c479809c679d4b.png
- /data/data/####/b58611cce8d4d7f8c394abe61474cc6f.png
- /data/data/####/b66c1627e9c23b412d26796865105e74.png
- /data/data/####/b7e892a23d8e3605b55932aa34323336.png
- /data/data/####/base64.js
- /data/data/####/bridge.js
- /data/data/####/c1a4ba3de58439c51dadd6f452594ff3.png
- /data/data/####/c63830eb36d99ee877bf8a84df23f1f1.png
- /data/data/####/candidate-detail.html
- /data/data/####/cart.html
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/com.dgbiz.huiwanjia_preferences.xml
- /data/data/####/common.css
- /data/data/####/common.js
- /data/data/####/config.js
- /data/data/####/constant.css
- /data/data/####/copper-member.jpg
- /data/data/####/core_info
- /data/data/####/counter.js
- /data/data/####/d5e78d6fe45318ec5509fa71a4e0e595.png
- /data/data/####/default-shop-banner-bg.jpg
- /data/data/####/diamonds-member.jpg
- /data/data/####/district-popup.js
- /data/data/####/district.js
- /data/data/####/e3d9ab7ed1f153967d31df9152ec874e.png
- /data/data/####/e6a100d53ce63136e12f730456b1c5ba.png
- /data/data/####/earnest-money.jpg
- /data/data/####/ejs.js
- /data/data/####/evaluate.html
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/f5b466662efd1d09fcf73d23921f49d7.png
- /data/data/####/f7abed6a061340a240275c49c062317e.png
- /data/data/####/fa787333779dcfba0be554c1afeba6b1.png
- /data/data/####/flexible_d171afb.js
- /data/data/####/function.css
- /data/data/####/gold-member.jpg
- /data/data/####/goods-collocation.jpg
- /data/data/####/goods-combo.html
- /data/data/####/goods-comment.html
- /data/data/####/goods-detail-comment-list.html
- /data/data/####/goods-detail.html
- /data/data/####/goods-detail.jpg
- /data/data/####/goods-list.html
- /data/data/####/goods.js
- /data/data/####/header_b68c1dc.jpg
- /data/data/####/icon.eot
- /data/data/####/icon.svg
- /data/data/####/icon.ttf
- /data/data/####/icon.woff
- /data/data/####/increment.db-journal
- /data/data/####/index.html
- /data/data/####/init.pid
- /data/data/####/init_c.pid
- /data/data/####/integral-goods-confirm.html
- /data/data/####/integral-goods-detail.html
- /data/data/####/integral-shop.html
- /data/data/####/jg_app_update_settings_random.xml
- /data/data/####/lib.js
- /data/data/####/libjiagu.so
- /data/data/####/libpatch
- /data/data/####/libpatch.so
- /data/data/####/libpatch1
- /data/data/####/libpatch1.so
- /data/data/####/localResizeIMG.js
- /data/data/####/logistics-info.html
- /data/data/####/m_customers_888602e.css.js
- /data/data/####/md5.js
- /data/data/####/member.html
- /data/data/####/mobileBUGFix.mini.js
- /data/data/####/multidex.version.xml
- /data/data/####/my-enroll-list.html
- /data/data/####/my-order.html
- /data/data/####/my-panic-purchase-list.html
- /data/data/####/news-list-title.png
- /data/data/####/news-list.html
- /data/data/####/order-confirm.html
- /data/data/####/order-detail.html
- /data/data/####/page-activity-detail.css
- /data/data/####/page-activity-list.css
- /data/data/####/page-activity-order-detail.css
- /data/data/####/page-additional-evaluate.css
- /data/data/####/page-auction-agreement.css
- /data/data/####/page-auction-earnest-money.css
- /data/data/####/page-auction-goods-detail.css
- /data/data/####/page-auction-list.css
- /data/data/####/page-auction-record-list.css
- /data/data/####/page-candidate-detail.css
- /data/data/####/page-cart.css
- /data/data/####/page-evaluate.css
- /data/data/####/page-goods-combo.css
- /data/data/####/page-goods-comment.css
- /data/data/####/page-goods-detail-comment-list.css
- /data/data/####/page-goods-detail.css
- /data/data/####/page-goods-list.css
- /data/data/####/page-integral-goods-detail.css
- /data/data/####/page-integral-shop.css
- /data/data/####/page-logistics-info.css
- /data/data/####/page-main.css
- /data/data/####/page-member.css
- /data/data/####/page-my-enroll-list.css
- /data/data/####/page-my-order.css
- /data/data/####/page-news-list.css
- /data/data/####/page-order-detail.css
- /data/data/####/page-order-distribution.css
- /data/data/####/page-order-self-delivery.css
- /data/data/####/page-panic-purchase-confirm.css
- /data/data/####/page-panic-purchase-detail.css
- /data/data/####/page-panic-purchase.css
- /data/data/####/page-popularity-list.css
- /data/data/####/page-refund-apply.css
- /data/data/####/page-refund-detail.css
- /data/data/####/page-service.css
- /data/data/####/page-setting-address.css
- /data/data/####/page-shop-category.css
- /data/data/####/page-shop-index.css
- /data/data/####/page-shop-main.css
- /data/data/####/page-template.css
- /data/data/####/page-vote-activity.css
- /data/data/####/page-vote-enroll.css
- /data/data/####/page-vote-index.css
- /data/data/####/page-vote-list.css
- /data/data/####/page-vote-popularity-list.css
- /data/data/####/panic-purchase-bg.jpg
- /data/data/####/panic-purchase-confirm.html
- /data/data/####/panic-purchase-detail.html
- /data/data/####/panic-purchase.html
- /data/data/####/pic_jifen.jpg
- /data/data/####/pic_paimai.jpg
- /data/data/####/platinum-member.jpg
- /data/data/####/push.pid
- /data/data/####/pushg.db-journal
- /data/data/####/pushsdk.db-journal
- /data/data/####/qiyu_save_7dd175826909f45f8f2922b8e060c0b1.xml
- /data/data/####/refund-apply.html
- /data/data/####/refund-detail.html
- /data/data/####/refund-log.html
- /data/data/####/rights-order.html
- /data/data/####/run.pid
- /data/data/####/select-bg.png
- /data/data/####/service.html
- /data/data/####/share_data_updatesdk.xml
- /data/data/####/sharedPreferences.xml
- /data/data/####/shop-category.html
- /data/data/####/shop-index.html
- /data/data/####/shop-list.html
- /data/data/####/silver-member.jpg
- /data/data/####/slider.js
- /data/data/####/swipe.js
- /data/data/####/tbs_download_stat.xml
- /data/data/####/tbslock.txt
- /data/data/####/tdata_wyu452
- /data/data/####/tdata_wyu452.jar
- /data/data/####/temp.tmp~
- /data/data/####/template.html
- /data/data/####/timg.jpg
- /data/data/####/title_news.png
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/unicorn#cheese#
- /data/data/####/update.qh
- /data/data/####/version.txt
- /data/data/####/vote-activity.html
- /data/data/####/vote-enroll.html
- /data/data/####/vote-index.html
- /data/data/####/vote-list.html
- /data/data/####/vote-list.png
- /data/data/####/vote-popularity-list.html
- /data/data/####/vote-popularity-list.png
- /data/data/####/wastat_4feea64.js
- /data/data/####/webview.db-journal
- /data/media/####/.nomedia
- /data/media/####/app.db
- /data/media/####/com.dgbiz.huiwanjia.db
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/tdata_wyu452
- /data/media/####/tmp_u_20200503
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- chmod 755 <Package Folder>/cache/360Download
Загружает динамические библиотеки:
- libjiagu
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS7Padding
- AES-CFB-NoPadding
- RSA
- RSA-ECB-NoPadding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CFB-NoPadding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
