Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Gexin.1
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a.appj####.com:80
- TCP(HTTP/1.1) app.wodin####.com:80
- TCP(HTTP/1.1) d####.c####.l####.####.com:80
- TCP sdk.o####.t####.####.com:5224
Запросы DNS:
- a.appj####.com
- app.wodin####.com
- cm-1####.g####.com
- sdk.c####.g####.com
- sdk.o####.t####.####.com
Запросы HTTP GET:
- app.wodin####.com/api/index/index
- app.wodin####.com/api/version/index?version=####
- d####.c####.l####.####.com/config/hzv9.conf
Запросы HTTP POST:
- a.appj####.com/ad-service/ad/mark
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/H5CWZWDH001.xml
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/index
- /data/data/####/init.pid
- /data/data/####/jg_app_update_settings_random.xml
- /data/data/####/libjiagu.so
- /data/data/####/pdr.xml
- /data/data/####/push.pid
- /data/data/####/pushsdk.db-journal
- /data/data/####/run.pid
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/webviewCookiesChromiumPrivate.db-journal
- /data/media/####/.nomedia
- /data/media/####/1.jpg
- /data/media/####/2.jpg
- /data/media/####/3.jpg
- /data/media/####/568b32d0b1b91.jpg
- /data/media/####/Article_detail.html
- /data/media/####/Article_list.html
- /data/media/####/B-1.jpg
- /data/media/####/B-2.jpg
- /data/media/####/B-3.jpg
- /data/media/####/Cart_index.html
- /data/media/####/Category_index.html
- /data/media/####/Detail_index.html
- /data/media/####/HB.png
- /data/media/####/Index_index.html
- /data/media/####/Index_moreList.html
- /data/media/####/Info_aboutUs.html
- /data/media/####/Info_tickling.html
- /data/media/####/Login_findPwd.html
- /data/media/####/Login_index.html
- /data/media/####/Order_index.html
- /data/media/####/Register_index.html
- /data/media/####/Search_index.html
- /data/media/####/T-1.jpg
- /data/media/####/T-2.jpg
- /data/media/####/T-3.jpg
- /data/media/####/T-4.jpg
- /data/media/####/User_addressAdd.html
- /data/media/####/User_addressEdit.html
- /data/media/####/User_addressList.html
- /data/media/####/User_browsingHistory.html
- /data/media/####/User_cardRecharge.html
- /data/media/####/User_chargeRecod.html
- /data/media/####/User_chargeRecodDetail.html
- /data/media/####/User_favorite.html
- /data/media/####/User_index.html
- /data/media/####/User_orderDetail.html
- /data/media/####/User_orderEvaluate.html
- /data/media/####/User_orderList.html
- /data/media/####/User_recharge.html
- /data/media/####/User_redPackets.html
- /data/media/####/User_settings.html
- /data/media/####/User_signed.html
- /data/media/####/User_userInfo.html
- /data/media/####/User_wallet.html
- /data/media/####/X-1.jpg
- /data/media/####/X-2.jpg
- /data/media/####/action.js
- /data/media/####/address_w.png
- /data/media/####/alipay.jpg
- /data/media/####/app.css
- /data/media/####/app.js
- /data/media/####/arrow_down_b.png
- /data/media/####/arrow_left_b.png
- /data/media/####/arrow_left_r.png
- /data/media/####/arrow_right_b.png
- /data/media/####/article.jpg
- /data/media/####/b.png
- /data/media/####/back_down.png
- /data/media/####/bg_v6_afc11cf.png
- /data/media/####/browse_grid.png
- /data/media/####/browse_list.png
- /data/media/####/browse_list_w.png
- /data/media/####/cancel_b.png
- /data/media/####/cart_b.png
- /data/media/####/cart_w.png
- /data/media/####/cate-list-img01.png
- /data/media/####/cate-list-img02.png
- /data/media/####/cate-list-img03.png
- /data/media/####/cate-list-img04.png
- /data/media/####/categroy_w.png
- /data/media/####/close_window.png
- /data/media/####/creidt_equal.png
- /data/media/####/creidt_high.png
- /data/media/####/creidt_low.png
- /data/media/####/default_user_portrait.gif
- /data/media/####/degault.png
- /data/media/####/del_b.png
- /data/media/####/detail_v1_2.png
- /data/media/####/edit_b.png
- /data/media/####/enter_w.png
- /data/media/####/fangzhengqianhei.ttf
- /data/media/####/favorite_r.png
- /data/media/####/favorite_rs.png
- /data/media/####/favorite_w.png
- /data/media/####/fcode.png
- /data/media/####/file__0.localstorage
- /data/media/####/file__0.localstorage-journal
- /data/media/####/font_1433401008_2229297.eot
- /data/media/####/font_1433401008_2229297.svg
- /data/media/####/font_1433401008_2229297.ttf
- /data/media/####/font_1433401008_2229297.woff
- /data/media/####/foot_app.png
- /data/media/####/foot_pc.png
- /data/media/####/foot_touch.png
- /data/media/####/go_top_79e8d83.png
- /data/media/####/goods-browse_w.png
- /data/media/####/goods-browse_y.png
- /data/media/####/goods_browse_b.png
- /data/media/####/goods_r.png
- /data/media/####/gotop_b.png
- /data/media/####/guide-p1-img01.png
- /data/media/####/guide-p1-img02.png
- /data/media/####/guide-p2-img01.png
- /data/media/####/guide-p2-img02.png
- /data/media/####/guide-p3-img01.png
- /data/media/####/guide-p3-img02.png
- /data/media/####/guide.html
- /data/media/####/h1.png
- /data/media/####/home_b.png
- /data/media/####/home_logo.png
- /data/media/####/home_w.png
- /data/media/####/i-f7.png
- /data/media/####/i-form-calendar.png
- /data/media/####/i-form-comment.png
- /data/media/####/i-form-email.png
- /data/media/####/i-form-gender.png
- /data/media/####/i-form-name.png
- /data/media/####/i-form-password.png
- /data/media/####/i-form-settings.png
- /data/media/####/i-form-tel.png
- /data/media/####/i-form-toggle.png
- /data/media/####/i-form-url.png
- /data/media/####/i-list-chevron-right.png
- /data/media/####/i-sortable-handler.png
- /data/media/####/icon-cate.png
- /data/media/####/icon-collection.png
- /data/media/####/icon-logistics.png
- /data/media/####/icon-signed.png
- /data/media/####/icon-weigouyi.ttf
- /data/media/####/icon.css
- /data/media/####/icon_result.png
- /data/media/####/icon_select.png
- /data/media/####/infomation-icon01.png
- /data/media/####/infomation-icon02.png
- /data/media/####/infomation-icon03.png
- /data/media/####/infomation-icon04.png
- /data/media/####/infomation-icon05.png
- /data/media/####/infomation-img01.png
- /data/media/####/infomation-img02.png
- /data/media/####/infomation-img03.png
- /data/media/####/k3d-min.js
- /data/media/####/kefu_b.png
- /data/media/####/loading-160.png
- /data/media/####/loading-300.png
- /data/media/####/loading-800.png
- /data/media/####/loading.gif
- /data/media/####/location_b.png
- /data/media/####/login-logo.png
- /data/media/####/login-pre.png
- /data/media/####/logo-100.png
- /data/media/####/logo-w-48.png
- /data/media/####/logo.jpg
- /data/media/####/logo.png
- /data/media/####/logo108.jpg
- /data/media/####/main.html
- /data/media/####/manifest.json
- /data/media/####/mathlib-min.js
- /data/media/####/mc_01.png
- /data/media/####/mc_01_b.png
- /data/media/####/mc_02.png
- /data/media/####/mc_03.png
- /data/media/####/mc_04.png
- /data/media/####/mcc_01.png
- /data/media/####/mcc_02.png
- /data/media/####/mcc_03.png
- /data/media/####/mcc_04.png
- /data/media/####/mcc_04_w.png
- /data/media/####/mcc_05.png
- /data/media/####/mcc_05_w.png
- /data/media/####/mcc_06_b.png
- /data/media/####/mcc_06_w.png
- /data/media/####/mcc_07_b.png
- /data/media/####/mcc_07_w.png
- /data/media/####/mcc_08_b.png
- /data/media/####/mcc_08_w.png
- /data/media/####/mcc_09_b.png
- /data/media/####/mcc_09_w.png
- /data/media/####/mcc_10_b.png
- /data/media/####/mcc_10_w.png
- /data/media/####/mcc_11_b.png
- /data/media/####/member_top_bg.png
- /data/media/####/member_w.png
- /data/media/####/message_b.png
- /data/media/####/message_w.png
- /data/media/####/message_ws.png
- /data/media/####/mobile_b.png
- /data/media/####/mobile_w.png
- /data/media/####/more_b.png
- /data/media/####/more_r.png
- /data/media/####/more_w.png
- /data/media/####/msg_log_b.png
- /data/media/####/msg_me.png
- /data/media/####/msg_other.png
- /data/media/####/mui.min.css
- /data/media/####/mui.min.js
- /data/media/####/mui.ttf
- /data/media/####/new_r.png
- /data/media/####/nlogo.png
- /data/media/####/ok.png
- /data/media/####/order_w.png
- /data/media/####/pay_ok.png
- /data/media/####/picLazyLoad.js
- /data/media/####/qq.png
- /data/media/####/qq_w.png
- /data/media/####/radiation.js
- /data/media/####/recommend-img01.png
- /data/media/####/recommend-img02.png
- /data/media/####/recommend-img03.png
- /data/media/####/recommend.jpg
- /data/media/####/red_02.png
- /data/media/####/red_03.png
- /data/media/####/reg_r.png
- /data/media/####/regm_r.png
- /data/media/####/reload_b.png
- /data/media/####/sale_r.png
- /data/media/####/save_b.png
- /data/media/####/screen.png
- /data/media/####/search_ico.png
- /data/media/####/search_w.png
- /data/media/####/set_b.png
- /data/media/####/set_w.png
- /data/media/####/sidebar01.png
- /data/media/####/sidebar02.png
- /data/media/####/sidebar03.png
- /data/media/####/sidebar04.png
- /data/media/####/sign_btn.png
- /data/media/####/signed-bg.png
- /data/media/####/sina.png
- /data/media/####/slogan.png
- /data/media/####/sm-city-picker.js
- /data/media/####/sm-city-picker.min.js
- /data/media/####/sm-extend..js
- /data/media/####/sm-extend.min.js
- /data/media/####/sm.css
- /data/media/####/sm.js
- /data/media/####/sm.min.js
- /data/media/####/smile_b.png
- /data/media/####/star_b.png
- /data/media/####/star_r.png
- /data/media/####/stiore_categroy_b.png
- /data/media/####/store_b.png
- /data/media/####/store_h_bg_01.jpg
- /data/media/####/store_h_bg_02.jpg
- /data/media/####/store_h_bg_03.jpg
- /data/media/####/store_h_bg_04.jpg
- /data/media/####/store_h_bg_05.jpg
- /data/media/####/store_json2.min.js
- /data/media/####/store_r.png
- /data/media/####/store_w.png
- /data/media/####/swiper.jpg
- /data/media/####/talk_w.png
- /data/media/####/tel_b.png
- /data/media/####/ticket_border_b.png
- /data/media/####/ticket_border_r.png
- /data/media/####/ticket_border_w.png
- /data/media/####/ticket_ysx.png
- /data/media/####/ticket_ysy.png
- /data/media/####/topbg.jpg
- /data/media/####/touch-icon-iphone.png
- /data/media/####/upload-pic.png
- /data/media/####/user-signed-head-bg.png
- /data/media/####/value_add.png
- /data/media/####/value_minus.png
- /data/media/####/vrcode_b.png
- /data/media/####/wxpay.jpg
- /data/media/####/x.jpg
- /data/media/####/zepto.js
- /data/media/####/zepto.min.js
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/files/libjiagu.so
Загружает динамические библиотеки:
- libjiagu
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
