Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Gexin.1
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) sdk.o####.p####.####.com:80
- TCP(HTTP/1.1) sdk-ope####.g####.com:80
- TCP(HTTP/1.1) 3f34616####.sin####.com:80
- TCP(HTTP/1.1) cdn-sdk####.g####.com.####.com:80
- TCP(HTTP/1.1) app.pdsc####.com:80
- TCP(HTTP/1.1) d####.c####.l####.####.com:80
- TCP(HTTP/1.1) c-h####.g####.com:80
- TCP(HTTP/1.1) ti####.c####.l####.####.com:80
- TCP sdk.o####.t####.####.com:5224
- TCP cm-1####.g####.com:5225
Запросы DNS:
- 2.m####.sin####.com
- 7j####.c####.z0.####.com
- a.appj####.com
- app.pdsc####.com
- c-h####.g####.com
- cdn-sdk####.g####.com
- cm-1####.g####.com
- mt####.go####.com
- sdk-ope####.g####.com
- sdk.c####.g####.com
- sdk.o####.i####.####.com
- sdk.o####.p####.####.com
- sdk.o####.t####.####.com
- www.pdsc####.com
Запросы HTTP GET:
- 3f34616####.sin####.com/dzb/getWeather.php?location1=####
- app.pdsc####.com/Uploads/Picture/2015-08-18/55d2a7870f39d.png
- app.pdsc####.com/Uploads/Picture/2015-08-18/55d2a79a76e1b.png
- app.pdsc####.com/Uploads/Picture/2015-08-18/55d2a7e0ee837.png
- app.pdsc####.com/Uploads/Picture/2015-08-18/55d2a8868911a.png
- app.pdsc####.com/Uploads/Picture/2015-11-06/563bf4a9a9398.png
- app.pdsc####.com/Uploads/Picture/2015-11-17/564af21974718.png
- app.pdsc####.com/Uploads/Picture/2016-04-05/57031dec8f6e7.png
- app.pdsc####.com/Uploads/Picture/2016-06-12/575ccdb38fbaa.png
- app.pdsc####.com/Uploads/Picture/2016-07-01/577626697dd86.jpg
- app.pdsc####.com/Uploads/Picture/2017-05-17/591b98f354a3d.png
- app.pdsc####.com/Uploads/Picture/2017-09-29/59cd9b4bb012e.png
- app.pdsc####.com/Uploads/Picture/2017-12-04/5a24ae67bc4ef.png
- app.pdsc####.com/Uploads/Picture/2017-12-25/5a4060b549d26.png
- app.pdsc####.com/Uploads/Picture/2018-01-06/5a509a5e05b4d.jpg
- app.pdsc####.com/Uploads/Picture/2018-02-13/5a8248888b283.png
- app.pdsc####.com/Uploads/Picture/2018-06-03/5b1351313fa09.png
- app.pdsc####.com/Uploads/Picture/2020-05-26/5ecc5e18b8760.jpg
- app.pdsc####.com/Uploads/Picture/2020-05-27/5ecdaf6647c53.jpg
- app.pdsc####.com/Uploads/Picture/2020-05-28/5ecf29fd65351.jpg
- app.pdsc####.com/Uploads/Picture/2020-05-28/5ecf2a5e01c8d.jpg
- app.pdsc####.com/Uploads/Picture/2020-06-01/5ed4506187499.jpg
- app.pdsc####.com/Uploads/Picture/2020-06-01/5ed45c47c894d.jpg
- app.pdsc####.com/Uploads/Picture/2020-06-01/5ed47187896dc.jpg
- app.pdsc####.com/Uploads/Picture/2020-06-11/5ee17f899aae7.png
- app.pdsc####.com/phoneapi.php?c=####&a=####
- app.pdsc####.com/phoneapi.php?c=####&a=####&page=####&posid=####
- app.pdsc####.com/phoneapi.php?s=####
- cdn-sdk####.g####.com.####.com/tdata_EDB102
- cdn-sdk####.g####.com.####.com/tdata_EvJ733
- cdn-sdk####.g####.com.####.com/tdata_XwJ757
- d####.c####.l####.####.com/config/hzv9.conf
- sdk.o####.p####.####.com/api/addr.htm
- ti####.c####.l####.####.com/tdata_eoG063
Запросы HTTP POST:
- c-h####.g####.com/api.php?format=####&t=####
- sdk-ope####.g####.com/api.php?format=####&t=####
- sdk-ope####.g####.com/api.php?format=####&t=####&d=####&k=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/clientid_igexin.xml
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/f_000004
- /data/data/####/f_000005
- /data/data/####/f_000006
- /data/data/####/f_000007
- /data/data/####/f_000008
- /data/data/####/f_000009
- /data/data/####/f_00000a
- /data/data/####/f_00000b
- /data/data/####/f_00000c
- /data/data/####/f_00000d
- /data/data/####/f_00000e
- /data/data/####/f_00000f
- /data/data/####/f_000010
- /data/data/####/f_000011
- /data/data/####/f_000012
- /data/data/####/f_000013
- /data/data/####/gkt-journal
- /data/data/####/increment.db-journal
- /data/data/####/index
- /data/data/####/init.pid
- /data/data/####/jg_app_update_settings_random.xml
- /data/data/####/libjiagu.so
- /data/data/####/pdr.xml
- /data/data/####/pdscm.xml
- /data/data/####/push.pid
- /data/data/####/pushg.db-journal
- /data/data/####/pushsdk.db-journal
- /data/data/####/run.pid
- /data/data/####/tdata_EvJ733.jar
- /data/data/####/tdata_EvJ733.tmp
- /data/data/####/tdata_XwJ757.jar
- /data/data/####/tdata_XwJ757.tmp
- /data/data/####/umeng_general_config.xml
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/webviewCookiesChromium.db-journal (deleted)
- /data/data/####/webviewCookiesChromiumPrivate.db-journal
- /data/media/####/Network.js
- /data/media/####/about.html
- /data/media/####/addcomm.html
- /data/media/####/app.css
- /data/media/####/app.db
- /data/media/####/app.js
- /data/media/####/app.tpl.js
- /data/media/####/app.wifi.js
- /data/media/####/arecord.png
- /data/media/####/astop.png
- /data/media/####/audio.css
- /data/media/####/audio.js
- /data/media/####/back.png
- /data/media/####/back_show.html
- /data/media/####/baoliao.html
- /data/media/####/baoliao.png
- /data/media/####/baoliao_head.html
- /data/media/####/bbs.html
- /data/media/####/biaoliao_content.html
- /data/media/####/clear.png
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/com.lzrbs.pdsmedia.db
- /data/media/####/comment.html
- /data/media/####/commentadd.html
- /data/media/####/commet_top.png
- /data/media/####/commlist.html
- /data/media/####/common.css
- /data/media/####/common.js
- /data/media/####/config.js
- /data/media/####/default.jpg
- /data/media/####/dzbcontent.html
- /data/media/####/file.ico
- /data/media/####/forget.html
- /data/media/####/fuwuList.html
- /data/media/####/gkt
- /data/media/####/gkt-journal
- /data/media/####/gktper
- /data/media/####/guide.html
- /data/media/####/index.html
- /data/media/####/index_menu.html
- /data/media/####/info.html
- /data/media/####/list.html
- /data/media/####/lixian.js
- /data/media/####/lixian_list.html
- /data/media/####/login-btn.png
- /data/media/####/login.css
- /data/media/####/login.html
- /data/media/####/login.png
- /data/media/####/login_m.png
- /data/media/####/login_top.png
- /data/media/####/logo.png
- /data/media/####/loo.png
- /data/media/####/luntan.png
- /data/media/####/lx_newslist.html
- /data/media/####/lx_newslsit_head.html
- /data/media/####/lx_show.html
- /data/media/####/manifest.json
- /data/media/####/mui.min.css
- /data/media/####/mui.min.js
- /data/media/####/mui.min2.js
- /data/media/####/mui.pullToRefresh.js
- /data/media/####/mui.pullToRefresh.material.js
- /data/media/####/mui.tpl.js
- /data/media/####/mui.tpl.min.js
- /data/media/####/mui.ttf
- /data/media/####/newp.html
- /data/media/####/newslist.css
- /data/media/####/newslist.html
- /data/media/####/newslsit_head.html
- /data/media/####/pdsrb.png
- /data/media/####/pdswb.png
- /data/media/####/pengyouquan.png
- /data/media/####/pull_arrow.png
- /data/media/####/pull_fresh.png
- /data/media/####/push.js
- /data/media/####/register.html
- /data/media/####/register.png
- /data/media/####/register_top.png
- /data/media/####/ribao.html
- /data/media/####/send_content.html
- /data/media/####/send_img.html
- /data/media/####/share_ico.png
- /data/media/####/share_icon.png
- /data/media/####/shopList.html
- /data/media/####/show.html
- /data/media/####/showUrl.html
- /data/media/####/show_next.html
- /data/media/####/sinalogo.png
- /data/media/####/special.js
- /data/media/####/sub_clolumn-grid.html
- /data/media/####/sub_colum2.js
- /data/media/####/sub_colum_back.js
- /data/media/####/sub_column-list.html
- /data/media/####/sub_column.html
- /data/media/####/tdata_EvJ733
- /data/media/####/tdata_XwJ757
- /data/media/####/tengxunweibo.png
- /data/media/####/update.js
- /data/media/####/update.json
- /data/media/####/urlConfig.js
- /data/media/####/wanbao.html
- /data/media/####/weixinlogo.png
- /data/media/####/wenzheng.html
- /data/media/####/wenzheng.png
- /data/media/####/ydl.png
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /proc/cpuinfo
- cat /sys/class/net/wlan0/address
- chmod 755 <Package Folder>/files/libjiagu.so
- mount
- sh
Загружает динамические библиотеки:
- libjiagu
Использует следующие алгоритмы для шифрования данных:
- AES-CFB-NoPadding
- AES-ECB-PKCS5Padding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CFB-NoPadding
- AES-ECB-PKCS5Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
