Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Gexin.1
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com.####.com:80
- TCP(HTTP/1.1) hk.wagbr####.non####.####.com:80
- TCP(HTTP/1.1) ser####.pic####.a####.com:80
- TCP(HTTP/1.1) oc.u####.com:80
- TCP(HTTP/1.1) v####.c####.l####.####.com:80
- TCP(HTTP/1.1) ser####.l####.a####.com:80
- TCP(HTTP/1.1) ada####.m.ta####.com:80
- TCP(HTTP/1.1) ser####.vid####.a####.com:80
- TCP(HTTP/1.1) pi####.qq.com:80
- TCP(TLS/1.0) api.t####.co:443
- TCP(TLS/1.0) ser####.vid####.a####.com:443
- TCP(TLS/1.0) sett####.crashly####.com:443
- TCP(TLS/1.0) ssl.google-####.com:443
- TCP(TLS/1.0) sh.wagbr####.ta####.com:443
- TCP sdk.o####.t####.####.com:5224
Запросы DNS:
- a####.u####.com
- ad####.m.ta####.com
- ada####.m.ta####.com
- api.t####.co
- bcfeed####.ta####.com
- cdn.v####.pic####.####.tv
- cm-1####.g####.com
- oc.u####.com
- pi####.qq.com
- sdk.o####.t####.####.com
- ser####.aa.a####.com
- ser####.l####.a####.com
- ser####.pic####.a####.com
- ser####.vid####.a####.com
- sett####.crashly####.com
- ssl.google-####.com
- y####.al####.com
Запросы HTTP GET:
- ser####.l####.a####.com/live/config?adult=####
- ser####.pic####.a####.com/v1/recommend/home/float?adult=####
- v####.c####.l####.####.com/5f59b1d9042208555ab86174.jpg?imageMo####&sign...
- v####.c####.l####.####.com/5f59b24031f613575867ae5f.jpg?imageMo####&sign...
- v####.c####.l####.####.com/5f59b28d31f61357797f95d5.jpg?imageMo####&sign...
- v####.c####.l####.####.com/5f59fd0831f61357797fb00d.jpg?imageMo####&sign...
- v####.c####.l####.####.com/5f5a0bc031f613575867cf5f.jpg?imageMo####&sign...
- v####.c####.l####.####.com/5f5a23d5042208555ab88e07.jpg?imageMo####&sign...
- v####.c####.l####.####.com/5f5a4b9e042208552de5a2ed.jpg?imageMo####&sign...
- v####.c####.l####.####.com/5f5a53ce04220855704a1e34.jpg?imageMo####&sign...
- v####.c####.l####.####.com/5f5a575c31f613580bd3f482.jpg?imageMo####&sign...
- v####.c####.l####.####.com/5f5a5eb60422085565af639e.jpg?imageMo####&sign...
- v####.c####.l####.####.com/5f5a5fbd042208554fa62f6d.jpg?imageMo####&sign...
- v####.c####.l####.####.com/5f5a60ec04220855447f5974.jpg?imageMo####&sign...
Запросы HTTP POST:
- a####.u####.com.####.com/app_logs
- ada####.m.ta####.com/rest/sur?ak=####&av=####&c=####&v=####&s=####&d=###...
- hk.wagbr####.non####.####.com/saveWb.json
- oc.u####.com/v2/check_config_update
- oc.u####.com/v2/get_update_time
- pi####.qq.com/mstat/report/?index=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/.mta-wxop.xml
- /data/data/####/0a231bd8575dcf72.txt
- /data/data/####/142b1d517e08b91ff0dbe36e1eb49f8abef937cc73f01bf....0.tmp
- /data/data/####/1d77ea041509fe06.lock
- /data/data/####/21c22f492aba3de8.lock
- /data/data/####/57fc38e9f06f176ef3b1a35fd4d26fa6e5ec0b6c8f373aa....0.tmp
- /data/data/####/5F5BD0940111-0001-087F-C83FC1675BD5BeginSession.cls_temp
- /data/data/####/5F5BD0940111-0001-087F-C83FC1675BD5SessionApp.cls_temp
- /data/data/####/5F5BD0940111-0001-087F-C83FC1675BD5SessionDevice.cls_temp
- /data/data/####/5F5BD0940111-0001-087F-C83FC1675BD5SessionOS.cls_temp
- /data/data/####/72a8373ef49d951b9a0bd58d90170729eafe7cb910d1a4f....0.tmp
- /data/data/####/7782b7253ff5e45daa9539d0721d0353dadd51934fa8aa2....0.tmp
- /data/data/####/7a132658a2a2499d3e6dd8b809116bb0770d73f863c1eb4....0.tmp
- /data/data/####/812a54bd95b4dbe27dadc47378c649c97b3ab65ea9345a5....0.tmp
- /data/data/####/84200eece60a578c6898178a905b3d48ab73f5ab5b93e50....0.tmp
- /data/data/####/930a31b34bd52c08.lock
- /data/data/####/9d848bbb3f0a763805f16ea9faf6d6eb8732309f6835ab5....0.tmp
- /data/data/####/AdvSDK.xml
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/SGMANAGER_DATA2.tmp
- /data/data/####/TwitterAdvertisingInfoPreferences.xml
- /data/data/####/UTCommon.xml
- /data/data/####/adk_pref.xml
- /data/data/####/ap.Lock
- /data/data/####/b36b6461996bd8c924b9e0c09b697e51e268676e77a6546....0.tmp
- /data/data/####/b8ad823050551c09a16d9784f8a942d4a180e5809342105....0.tmp
- /data/data/####/bb21640c34dc12f135cf27e5e5c557e8caadf1aa107ed59....0.tmp
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/com.androidesk.livewallpaper_preferences.xml
- /data/data/####/com.crashlytics.prefs.xml
- /data/data/####/com.crashlytics.sdk.android;answers;settings.xml
- /data/data/####/com.crashlytics.settings.json
- /data/data/####/dfa77f288be0ca6e0e9e165ea3250c5ccc8975bce2b33df....0.tmp
- /data/data/####/ed8b52f17fea0963dcc431a9512a2d6f391bc0cf6f99eb6....0.tmp
- /data/data/####/evernote_jobs.db
- /data/data/####/evernote_jobs.db-journal
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/gaClientId
- /data/data/####/google_analytics_v2.db-journal
- /data/data/####/init.pid
- /data/data/####/initialization_marker
- /data/data/####/io.fabric.sdk.android;fabric;io.fabric.sdk.andr...ng.xml
- /data/data/####/journal.tmp
- /data/data/####/libjiagu309239679.so
- /data/data/####/libsgmainso-5.1.81.so.tmp
- /data/data/####/lock.lock
- /data/data/####/multidex.version.xml
- /data/data/####/onlineconfig_agent_online_setting_com.androides...er.xml
- /data/data/####/pri_wxop_tencent_analysis.db-journal
- /data/data/####/push.pid
- /data/data/####/pushsdk.db-journal
- /data/data/####/run.pid
- /data/data/####/sa_cfce9af9-e86a-4588-90f2-9f87a78314c0_1599852696833.tap
- /data/data/####/session_analytics.tap
- /data/data/####/session_analytics.tap.tmp
- /data/data/####/sp.lock
- /data/data/####/tmobi.xml
- /data/data/####/tray.db-journal
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/ut.db
- /data/data/####/ut.db-journal
- /data/data/####/wxop_tencent_analysis.db-journal
- /data/media/####/.mid.txt
- /data/media/####/6c709c11d2d46a7b
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/adklwp.db
- /data/media/####/adklwp.db-journal
- /data/media/####/dd7893586a493dc3
- /data/media/####/hid.dat
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
- chmod 755 <Package Folder>/.jiagu/libjiagu309239679.so
Загружает динамические библиотеки:
- adklwp
- box2d
- ezaction
- ezbase
- ezinterpolator
- ezlwp
- ezparticle
- ezpathiterator
- ezphysics
- ezrt
- eztransition
- libjiagu309239679
- sgmainso-5.1
- ut_c_api
- wiengine
- wiskia
- wisound
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию о настроках APN.
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Перехватывает уведомления.
