Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Gexin.1
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(HTTP/1.1) g.appj####.com:80
- TCP(HTTP/1.1) a.appj####.com:80
- TCP(HTTP/1.1) d####.c####.l####.####.com:80
- TCP(HTTP/1.1) c-h####.g####.com:80
- TCP(HTTP/1.1) sdk.o####.p####.####.com:80
- TCP(HTTP/1.1) www.bk####.net:80
- TCP(TLS/1.0) safebro####.google####.com:443
- TCP(TLS/1.0) www.gst####.com:443
- TCP(TLS/1.0) 1####.250.179.138:443
- TCP(TLS/1.0) and####.google####.com:443
- TCP(TLS/1.2) 1####.250.179.174:443
- TCP(TLS/1.2) 2####.58.208.99:443
- TCP(TLS/1.2) 1####.250.179.138:443
- TCP cm-1####.g####.com:5224
- TCP sdk.o####.t####.####.com:5224
Запросы DNS:
- a.appj####.com
- and####.google####.com
- c-h####.g####.com
- c.sz.gt.####.8
- c.sz.gt.####.com
- cm-1####.g####.com
- g.appj####.com
- safebro####.google####.com
- sdk.c####.g####.com
- sdk.o####.p####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
- www.bk####.net
- www.gst####.com
Запросы HTTP GET:
- d####.c####.l####.####.com/config/hzv9.conf
- www.bk####.net//upload/day_20171010/201710100146189364.png
- www.bk####.net//upload/day_20171010/201710100146268857.png
- www.bk####.net//upload/day_20171010/201710100146348035.png
- www.bk####.net//upload/day_20171010/201710100146408043.png
- www.bk####.net//upload/day_20171010/201710100146453791.png
- www.bk####.net/upload/day_20200821/202008211043231050.jpg
- www.bk####.net/upload/day_20200821/202008211047126755.jpg
- www.bk####.net/upload/day_20200821/202008211050166124.jpg
- www.bk####.net/upload/day_20200909/202009091152556722.png
- www.bk####.net/upload/day_20200909/202009091202155335.jpg
- www.bk####.net/upload/day_20200909/202009091205566141.png
- www.bk####.net/upload/day_20200909/202009091208554505.png
- www.bk####.net/upload/day_20200909/202009091211449629.jpg
- www.bk####.net/upload/day_20200909/202009091215462802.jpg
- www.bk####.net/upload/day_20200909/202009091224111033.jpg
- www.bk####.net/upload/day_20200909/202009091227492220.png
- www.bk####.net/upload/day_20200909/202009091236199198.jpg
- www.bk####.net/upload/day_20200909/202009091239275817.jpg
Запросы HTTP POST:
- a.appj####.com/ad-service/ad/mark
- c-h####.g####.com/api.php?format=####&t=####
- g.appj####.com/api/1/1/meterials
- sdk.o####.p####.####.com/api.php?format=####&t=####
- www.bk####.net/data/do.aspx?action=####&uid=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imei.txt
- /data/data/####/.jg.ic
- /data/data/####/.jgads.xml
- /data/data/####/.log.lock
- /data/data/####/.log.ls
- /data/data/####/078b6bb27d6e7cf8_0
- /data/data/####/2524ac0ec743bab0_0
- /data/data/####/30425c2611ca71f1_0
- /data/data/####/34efb29a4bf7deb3_0
- /data/data/####/5e56d346a7f3c374_0
- /data/data/####/67efc493185dc3a8_0
- /data/data/####/7c876fbca6dfc0be_0
- /data/data/####/8c8222b7b4c6524a_0
- /data/data/####/9c53ef0b8842a3f6_0
- /data/data/####/9e298fb09e7b75d4_0
- /data/data/####/Cookies-journal
- /data/data/####/H556C3BF2.xml
- /data/data/####/WebViewChromiumPrefs.xml
- /data/data/####/b8aa34bd14f00227_0
- /data/data/####/cd4772d5fa4e07c4_0
- /data/data/####/cf65f772e70e976a_0
- /data/data/####/classes.dex
- /data/data/####/classes2.dex
- /data/data/####/clientid_igexin.xml
- /data/data/####/e11d936bec101216_0
- /data/data/####/e58e1b042e22eb10_0
- /data/data/####/ec28cd52c057d8fa_0
- /data/data/####/f79e0fffd21473fb_0
- /data/data/####/fc0d6a3bfc9cb5e2_0
- /data/data/####/file__0.localstorage-journal
- /data/data/####/index
- /data/data/####/init.pid
- /data/data/####/init_c1.pid
- /data/data/####/io.dcloud.H556C3BF2_preferences.xml
- /data/data/####/jg_app_update_settings_random.xml
- /data/data/####/libjiagu.so
- /data/data/####/metrics_guid
- /data/data/####/pdr.xml
- /data/data/####/proc_auxv
- /data/data/####/profile
- /data/data/####/push.pid
- /data/data/####/pushsdk.db-journal
- /data/data/####/qihoo_jiagu_crash_report.xml
- /data/data/####/run.pid
- /data/data/####/temp-index
- /data/data/####/the-real-index
- /data/data/####/tmpd8.db-journal
- /data/media/####/.imei.txt
- /data/media/####/00_login_forget_password_title_icon_information.png
- /data/media/####/00_login_forget_password_title_icon_reset.png
- /data/media/####/00_login_icon_favoricon.png
- /data/media/####/00_login_input_icon_password.png
- /data/media/####/00_login_input_icon_phone.png
- /data/media/####/00_login_top_nav_icon_back.png
- /data/media/####/00_signup_icon_favoricon.png
- /data/media/####/00_signup_input_icon_account.png
- /data/media/####/01_index_article_icon_collect.png
- /data/media/####/01_index_article_icon_comment.png
- /data/media/####/01_index_article_icon_share.png
- /data/media/####/01_index_article_icon_time.png
- /data/media/####/01_index_bottom_bar_icon_homepage.png
- /data/media/####/01_index_bottom_bar_icon_homepage_current.png
- /data/media/####/01_index_bottom_bar_icon_profile.png
- /data/media/####/01_index_bottom_bar_icon_profile_current.png
- /data/media/####/01_index_bottom_bar_icon_recommend.png
- /data/media/####/01_index_bottom_bar_icon_recommend_current.png
- /data/media/####/01_index_bottom_bar_icon_search.png
- /data/media/####/01_index_bottom_bar_icon_search_current.png
- /data/media/####/01_index_program_icon_community.png
- /data/media/####/01_index_program_icon_country.png
- /data/media/####/01_index_program_icon_news.png
- /data/media/####/01_index_program_icon_video.png
- /data/media/####/01_index_program_icon_youth.png
- /data/media/####/01_index_top_nav_icon_login.png
- /data/media/####/01_index_top_nav_icon_message.png
- /data/media/####/02_program_top_nav_icon_subscibe.png
- /data/media/####/02_program_top_nav_icon_subscibe_current.png
- /data/media/####/03_article_button_icon_collect.png
- /data/media/####/03_article_button_icon_collect_current.png
- /data/media/####/03_article_input_icon_input.png
- /data/media/####/03_article_input_icon_sent.png
- /data/media/####/03_article_input_icon_share.png
- /data/media/####/03_article_share_icon_close.png
- /data/media/####/03_article_title_icon_relate.png
- /data/media/####/03_article_top_nav_icon_collect.png
- /data/media/####/03_article_top_nav_icon_collect_current.png
- /data/media/####/03_article_top_nav_icon_comment.png
- /data/media/####/03_article_top_nav_icon_fontsize1.png
- /data/media/####/03_article_top_nav_icon_fontsize2.png
- /data/media/####/03_article_top_nav_icon_share.png
- /data/media/####/04_video_palyer_actual_size.png
- /data/media/####/04_video_palyer_full_screen.png
- /data/media/####/04_video_palyer_pause.png
- /data/media/####/04_video_palyer_play.png
- /data/media/####/04_video_palyer_volume_off.png
- /data/media/####/04_video_palyer_volume_on.png
- /data/media/####/05_search_result_none_icon_none.png
- /data/media/####/05_search_result_none_title_icon_recommend.png
- /data/media/####/05_search_title_icon_hot.png
- /data/media/####/06_profile_button_icon_edit.png
- /data/media/####/06_profile_button_icon_top.png
- /data/media/####/06_profile_edit_button_icon_delete.png
- /data/media/####/06_profile_icon_coin.png
- /data/media/####/06_profile_icon_set.png
- /data/media/####/06_profile_subscibe_program_icon_community.png
- /data/media/####/06_profile_subscibe_program_icon_country.png
- /data/media/####/06_profile_subscibe_program_icon_news.png
- /data/media/####/06_profile_subscibe_program_icon_video.png
- /data/media/####/06_profile_subscibe_program_icon_youth.png
- /data/media/####/06_profile_top_nav_icon_back.png
- /data/media/####/06_profile_top_nav_icon_message.png
- /data/media/####/07_setting_title_icon_persional.png
- /data/media/####/07_setting_title_icon_system.png
- /data/media/####/1.app.log
- /data/media/####/JxCont.html
- /data/media/####/Scortop.png
- /data/media/####/actionsheet.html
- /data/media/####/app.css
- /data/media/####/app.db
- /data/media/####/app.js
- /data/media/####/base.js
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/common.js
- /data/media/####/detail.html
- /data/media/####/detail2.html
- /data/media/####/detailbeifen.html
- /data/media/####/do.js
- /data/media/####/dujia.png
- /data/media/####/feedback.js
- /data/media/####/forget.js
- /data/media/####/forget_password.html
- /data/media/####/icon_loading.gif
- /data/media/####/iconfont.ttf
- /data/media/####/immersed.js
- /data/media/####/index.html
- /data/media/####/index1.html
- /data/media/####/indexCont.html
- /data/media/####/io.dcloud.H556C3BF2.db
- /data/media/####/iscroll.js
- /data/media/####/jingxuan.html
- /data/media/####/jquery-1.11.1.min.js
- /data/media/####/list.html
- /data/media/####/listCont.html
- /data/media/####/loading.gif
- /data/media/####/login.html
- /data/media/####/logo.png
- /data/media/####/logo512.png
- /data/media/####/manifest.json
- /data/media/####/mui.css
- /data/media/####/mui.enterfocus.js
- /data/media/####/mui.js
- /data/media/####/mui.min.css
- /data/media/####/mui.min.js
- /data/media/####/mui.ttf
- /data/media/####/mui.view.js
- /data/media/####/my.html
- /data/media/####/nav1.png
- /data/media/####/new.html
- /data/media/####/notice.html
- /data/media/####/noticeCont.html
- /data/media/####/pinglun.html
- /data/media/####/pinglunCont.html
- /data/media/####/pull-icon@2x.png
- /data/media/####/qq.png
- /data/media/####/reg.html
- /data/media/####/reset_password.html
- /data/media/####/seach.html
- /data/media/####/setting.html
- /data/media/####/shuijiao.jpg
- /data/media/####/sinaweibo.png
- /data/media/####/swiper.min.css
- /data/media/####/swiper.min.js
- /data/media/####/update.js
- /data/media/####/video.html
- /data/media/####/weixin.png
- /data/media/####/xiangqing.html
Другие:
Запускает следующие shell-скрипты:
- chmod 755 /data/user/0/<Package>/.jiagu/libjiagu.so
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
Запрашивает разрешение на отображение системных уведомлений.
