Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Gexin.1
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) app.w####.cn:80
- TCP(HTTP/1.1) ap####.w####.cn:80
- TCP ap####.w####.cn:80
Запросы DNS:
- ap####.w####.cn
- app.w####.cn
- sdk.o####.t####.####.com
- www.motivat####.net
Запросы HTTP GET:
- ap####.w####.cn/appfile/b_pkg3.0.9_4.png
- app.w####.cn/t.jsp?app_id=####&channel=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/AppSettings.xml
- /data/data/####/H59F147B6.xml
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/index
- /data/data/####/init.pid
- /data/data/####/libjiagu.so
- /data/data/####/mobclick_agent_cached_cn.motivationalstudyroom....shici2
- /data/data/####/pdr.xml
- /data/data/####/push.pid
- /data/data/####/pushsdk.db-journal
- /data/data/####/run.pid
- /data/data/####/umeng_general_config.xml
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/webviewCookiesChromiumPrivate.db-journal
- /data/media/####/0000000000000001.db
- /data/media/####/0000000000000001.db-journal
- /data/media/####/01.mp3
- /data/media/####/02.mp3
- /data/media/####/03.mp3
- /data/media/####/04.mp3
- /data/media/####/05.mp3
- /data/media/####/06.mp3
- /data/media/####/07.mp3
- /data/media/####/08.mp3
- /data/media/####/09.mp3
- /data/media/####/1.mp3
- /data/media/####/10.mp3
- /data/media/####/100.mp3
- /data/media/####/101.mp3
- /data/media/####/102.mp3
- /data/media/####/103.mp3
- /data/media/####/104.mp3
- /data/media/####/11.mp3
- /data/media/####/12.mp3
- /data/media/####/13.mp3
- /data/media/####/14.mp3
- /data/media/####/15.mp3
- /data/media/####/16.mp3
- /data/media/####/17.mp3
- /data/media/####/18.mp3
- /data/media/####/19.mp3
- /data/media/####/2.mp3
- /data/media/####/20.mp3
- /data/media/####/21.mp3
- /data/media/####/22.mp3
- /data/media/####/23.mp3
- /data/media/####/24.mp3
- /data/media/####/25.mp3
- /data/media/####/26.mp3
- /data/media/####/27.mp3
- /data/media/####/28.mp3
- /data/media/####/29.mp3
- /data/media/####/3.mp3
- /data/media/####/30.mp3
- /data/media/####/31.mp3
- /data/media/####/32.MP3
- /data/media/####/33.mp3
- /data/media/####/34.mp3
- /data/media/####/35.mp3
- /data/media/####/36.mp3
- /data/media/####/37.mp3
- /data/media/####/38.mp3
- /data/media/####/39.mp3
- /data/media/####/4.mp3
- /data/media/####/40.mp3
- /data/media/####/41.mp3
- /data/media/####/42.mp3
- /data/media/####/43.mp3
- /data/media/####/44.mp3
- /data/media/####/45.mp3
- /data/media/####/46.mp3
- /data/media/####/47.mp3
- /data/media/####/48.mp3
- /data/media/####/49.mp3
- /data/media/####/5.mp3
- /data/media/####/50.mp3
- /data/media/####/51.mp3
- /data/media/####/52.mp3
- /data/media/####/53.mp3
- /data/media/####/54.mp3
- /data/media/####/55.mp3
- /data/media/####/56.mp3
- /data/media/####/57.mp3
- /data/media/####/58.mp3
- /data/media/####/59.mp3
- /data/media/####/6.mp3
- /data/media/####/60.mp3
- /data/media/####/61.mp3
- /data/media/####/62.mp3
- /data/media/####/63.mp3
- /data/media/####/64.mp3
- /data/media/####/65.mp3
- /data/media/####/66.mp3
- /data/media/####/67.mp3
- /data/media/####/68.mp3
- /data/media/####/69.mp3
- /data/media/####/7.mp3
- /data/media/####/70.mp3
- /data/media/####/71.mp3
- /data/media/####/72.mp3
- /data/media/####/73.mp3
- /data/media/####/74.mp3
- /data/media/####/75.mp3
- /data/media/####/76.mp3
- /data/media/####/77.mp3
- /data/media/####/78.mp3
- /data/media/####/79.mp3
- /data/media/####/8.mp3
- /data/media/####/80.mp3
- /data/media/####/81.mp3
- /data/media/####/82.mp3
- /data/media/####/83.mp3
- /data/media/####/84.mp3
- /data/media/####/85.mp3
- /data/media/####/86.mp3
- /data/media/####/87.mp3
- /data/media/####/88.mp3
- /data/media/####/89.mp3
- /data/media/####/9.mp3
- /data/media/####/90.mp3
- /data/media/####/91.mp3
- /data/media/####/92.mp3
- /data/media/####/93.mp3
- /data/media/####/94.mp3
- /data/media/####/95.mp3
- /data/media/####/96.mp3
- /data/media/####/97.mp3
- /data/media/####/98.mp3
- /data/media/####/99.mp3
- /data/media/####/DO NOT CHANGE THESE FILES. USE -src- FOLDER.txt
- /data/media/####/Databases.db
- /data/media/####/Databases.db-journal
- /data/media/####/TbExeContent.js
- /data/media/####/TbExercises.js
- /data/media/####/TbPoem.js
- /data/media/####/TbPoemContent.js
- /data/media/####/TbVideo.js
- /data/media/####/Timer.js
- /data/media/####/Utils.js
- /data/media/####/animate.min.css
- /data/media/####/app.css
- /data/media/####/background.png
- /data/media/####/baijuyi.jpg
- /data/media/####/baipu.jpg
- /data/media/####/beichaominge.jpg
- /data/media/####/bigplay.fw.png
- /data/media/####/bigplay.png
- /data/media/####/bigplay.svg
- /data/media/####/camera.js
- /data/media/####/caozhi.jpg
- /data/media/####/censhen.jpg
- /data/media/####/chaodai.txt
- /data/media/####/chenghe.jpg
- /data/media/####/chinese2pinyin.js
- /data/media/####/common.css
- /data/media/####/controls-ted.png
- /data/media/####/controls-wmp-bg.png
- /data/media/####/controls-wmp.png
- /data/media/####/controls.fw.png
- /data/media/####/controls.png
- /data/media/####/controls.svg
- /data/media/####/createquestiongrade.js
- /data/media/####/createquestions.js
- /data/media/####/db.js
- /data/media/####/db_sql.txt
- /data/media/####/dufu.jpg
- /data/media/####/dumu.jpg
- /data/media/####/exer_detail.html
- /data/media/####/exer_detail.js
- /data/media/####/extract_file.js
- /data/media/####/fanchengda.jpg
- /data/media/####/file__0.localstorage
- /data/media/####/file__0.localstorage-journal
- /data/media/####/flashmediaelement-cdn.swf
- /data/media/####/flashmediaelement-debug.swf
- /data/media/####/flashmediaelement.swf
- /data/media/####/font-awesome.css
- /data/media/####/fontawesome-webfont.ttf
- /data/media/####/gaoding.jpg
- /data/media/####/gaoshi.jpg
- /data/media/####/gongzizhen.jpg
- /data/media/####/hanhong.jpg
- /data/media/####/hanyu.jpg
- /data/media/####/hanyuefu.jpg
- /data/media/####/hezhizhang.jpg
- /data/media/####/html2canvas.js
- /data/media/####/icon_poster.png
- /data/media/####/icon_videodefault.png
- /data/media/####/index.html
- /data/media/####/jiadao.jpg
- /data/media/####/jquery-3.1.1.min.js
- /data/media/####/jquery.gDialog.css
- /data/media/####/jquery.gDialog.js
- /data/media/####/jquery.gDialog.min.js
- /data/media/####/jquery.gDialog.scss
- /data/media/####/jquery.js
- /data/media/####/jumpforward.png
- /data/media/####/libai.jpg
- /data/media/####/linjie.jpg
- /data/media/####/linsheng.jpg
- /data/media/####/liqingzhao.jpg
- /data/media/####/lishangyin.jpg
- /data/media/####/lishen.jpg
- /data/media/####/listen_detail.html
- /data/media/####/listen_detail.js
- /data/media/####/liuchangqing.jpg
- /data/media/####/liuyong.jpg
- /data/media/####/liuyuxi.jpg
- /data/media/####/liuzongyuan.jpg
- /data/media/####/loading.gif
- /data/media/####/lulun.jpg
- /data/media/####/luobinwang.jpg
- /data/media/####/luyou.jpg
- /data/media/####/luzhaolin.jpg
- /data/media/####/lvyan.jpg
- /data/media/####/manifest.json
- /data/media/####/me-i18n-locale-cs.js
- /data/media/####/me-i18n-locale-de.js
- /data/media/####/me-i18n-locale-en.js
- /data/media/####/me-i18n-locale-es.js
- /data/media/####/me-i18n-locale-fr.js
- /data/media/####/me-i18n-locale-hu.js
- /data/media/####/me-i18n-locale-it.js
- /data/media/####/me-i18n-locale-ja.js
- /data/media/####/me-i18n-locale-ko.js
- /data/media/####/me-i18n-locale-nl.js
- /data/media/####/me-i18n-locale-pl.js
- /data/media/####/me-i18n-locale-pt-br.js
- /data/media/####/me-i18n-locale-pt.js
- /data/media/####/me-i18n-locale-ro.js
- /data/media/####/me-i18n-locale-ru.js
- /data/media/####/me-i18n-locale-sk.js
- /data/media/####/me-i18n-locale-zh-cn.js
- /data/media/####/me-i18n-locale-zh.js
- /data/media/####/mediaelement-and-player.js
- /data/media/####/mediaelement-and-player.min.js
- /data/media/####/mediaelement.js
- /data/media/####/mediaelement.min.js
- /data/media/####/mediaelementplayer.css
- /data/media/####/mediaelementplayer.js
- /data/media/####/mediaelementplayer.min.css
- /data/media/####/mediaelementplayer.min.js
- /data/media/####/mejs-skins.css
- /data/media/####/menghaoran.jpg
- /data/media/####/mengjiao.jpg
- /data/media/####/mui.css
- /data/media/####/mui.js
- /data/media/####/mui.min.js
- /data/media/####/mui.ttf
- /data/media/####/mui_share.js
- /data/media/####/nalanxingde.jpg
- /data/media/####/new_file.html
- /data/media/####/normalize.css
- /data/media/####/parFile.js
- /data/media/####/pirixiu.jpg
- /data/media/####/qiqiao.jpg
- /data/media/####/shaoyong.jpg
- /data/media/####/share.html
- /data/media/####/share.js
- /data/media/####/shici.txt
- /data/media/####/shicifenlei.txt
- /data/media/####/shicizhushi.txt
- /data/media/####/shijing.jpg
- /data/media/####/silverlightmediaelement.xap
- /data/media/####/skipback.png
- /data/media/####/subpage_exer.js
- /data/media/####/subpage_listen.js
- /data/media/####/subpage_share.js
- /data/media/####/subpage_video.js
- /data/media/####/sushi.jpg
- /data/media/####/suxun.jpg
- /data/media/####/suzhe.jpg
- /data/media/####/tab-webview-main.html
- /data/media/####/tab-webview-main.js
- /data/media/####/tab-webview-single-recording.html
- /data/media/####/tab-webview-subpage-exer.html
- /data/media/####/tab-webview-subpage-listen.html
- /data/media/####/tab-webview-subpage-video.html
- /data/media/####/taoyuanming.jpg
- /data/media/####/testforfiles.js
- /data/media/####/update.js
- /data/media/####/video-js.min.css
- /data/media/####/video.min.js
- /data/media/####/video_cut.js
- /data/media/####/wanganshi.jpg
- /data/media/####/wangbo.jpg
- /data/media/####/wangchangling.jpg
- /data/media/####/wangguan.jpg
- /data/media/####/wanghan.jpg
- /data/media/####/wangmian.jpg
- /data/media/####/wangpan.jpg
- /data/media/####/wangwei.jpg
- /data/media/####/wangzhihuan.jpg
- /data/media/####/webview_rotate.js
- /data/media/####/webview_visiblestate.js
- /data/media/####/weiyingwu.jpg
- /data/media/####/welcome.png
- /data/media/####/welcome_orientation.png
- /data/media/####/wengjuan.jpg
- /data/media/####/wentingjun.jpg
- /data/media/####/xiawanchun.jpg
- /data/media/####/xinqiji.jpg
- /data/media/####/yangjong.jpg
- /data/media/####/yangwanli.jpg
- /data/media/####/yanzhenqing.jpg
- /data/media/####/yeshaoweng.jpg
- /data/media/####/yuanmei.jpg
- /data/media/####/yuqian.jpg
- /data/media/####/yuxuanji.jpg
- /data/media/####/zhangji.jpg
- /data/media/####/zhangzhihe.jpg
- /data/media/####/zhengxie.jpg
- /data/media/####/zhuxi.jpg
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
Загружает динамические библиотеки:
- libjiagu
Использует следующие алгоритмы для расшифровки данных:
- DES-CBC-PKCS5Padding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
