Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Gexin.1
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(HTTP/1.1) d####.c####.l####.####.com:80
- TCP(HTTP/1.1) sdk-ope####.g####.com:80
- TCP(HTTP/1.1) c-h####.g####.com:80
- TCP(HTTP/1.1) a####.u####.com.####.com:80
- TCP(HTTP/1.1) ti####.c####.l####.####.com:80
- TCP(HTTP/1.1) dc.meitu####.com:80
- TCP(HTTP/1.1) a####.tg.m####.####.net:80
- TCP(HTTP/1.1) img.app.meitu####.com:80
- TCP(TLS/1.0) t####.appsf####.com:443
- TCP(TLS/1.0) img.app.meitu####.com:443
- TCP(TLS/1.0) cdn-set####.seg####.com:443
- TCP(TLS/1.0) dc.meitu####.com:443
- TCP(TLS/1.0) and####.cli####.go####.com:443
- TCP(TLS/1.0) www.google####.com:443
- TCP(TLS/1.0) connect####.gst####.com:443
- TCP(TLS/1.0) a####.tg.m####.####.net:443
- TCP(TLS/1.0) api.appsf####.com:443
- TCP(TLS/1.0) p####.google####.com:443
- TCP(TLS/1.2) and####.cli####.go####.com:443
- TCP(TLS/1.2) connect####.gst####.com:443
- TCP(TLS/1.2) www.google####.com:443
- TCP sdk.o####.t####.####.com:5224
- TCP cm-1####.g####.com:5225
Запросы DNS:
- 7j####.c####.z0.####.com
- a####.tg.m####.com
- a####.u####.com
- and####.cli####.go####.com
- api.appsf####.com
- api.d####.m####.com
- api.m####.com
- beaut####.big####.mu.####.8
- beaut####.big####.mu.####.com
- c-h####.g####.com
- cdn-set####.seg####.com
- cm-1####.g####.com
- connect####.gst####.com
- dc.meitu####.com
- img.app.meitu####.com
- mobile-####.seg####.com
- mobile-####.seg####.com.####.8
- p####.google####.com
- pla####.googleu####.com
- ra####.meitu####.com
- ra####.tg.m####.com
- sdk-ope####.g####.com
- sdk.c####.g####.com
- sdk.o####.i####.####.8
- sdk.o####.i####.####.com
- sdk.o####.t####.####.com
- t####.appsf####.com
- www.google####.com
Запросы HTTP GET:
- a####.tg.m####.####.net:443/advert/getdsp.json?app_key=####&platform=###...
- api.appsf####.com:443/install_data/v3/<Package>-nonGP?devkey=####&device...
- cdn-set####.seg####.com:443/v1/projects/1W42l0WdnsEDNTVJVD0H6krCZD3eVwPz...
- d####.c####.l####.####.com/config/hzv9.conf
- dc.meitu####.com/app/F9CC8787275D8691.json
- img.app.meitu####.com/meiyan/startup/androidmeiyan_en.json
- img.app.meitu####.com/meiyan/sucai/json/v1/androidmeiyan/music/styleList...
- img.app.meitu####.com/meiyan/sucai/json/v1/androidmeiyan/mv/list.json
- img.app.meitu####.com/meiyan/update/androidmeiyan_en.json
- img.app.meitu####.com:443/meitutg/schemas/schemas.json
- ti####.c####.l####.####.com/tdata_eoG063
- ti####.c####.l####.####.com/tdata_jhR529
Запросы HTTP POST:
- a####.tg.m####.####.net/plain
- a####.tg.m####.####.net:443/advert/getjson
- a####.tg.m####.####.net:443/plain
- a####.u####.com.####.com/app_logs
- c-h####.g####.com/api.php?format=####&t=####
- dc.meitu####.com:443/abtest
- dc.meitu####.com:443/index/token_add
- sdk-ope####.g####.com/api.php?format=####&t=####
- t####.appsf####.com:443/api/v2.3/androidevent?buildnumber=####&app_id=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/1W42l0WdnsEDNTVJVD0H6krCZD3eVwPz
- /data/data/####/ABTEST_TABLE.xml
- /data/data/####/AF_INSTALLATION
- /data/data/####/AnalyticsSdk.db
- /data/data/####/AnalyticsSdk.db-journal
- /data/data/####/BEAUTY_CAMERA_TABLE.xml
- /data/data/####/BeautyCam
- /data/data/####/BeautyCam-journal
- /data/data/####/CAMERA_VIDEO_TABLE.xml
- /data/data/####/CAMERA_VIDEO_TABLE.xml.bak
- /data/data/####/Default.xml
- /data/data/####/GeTui.xml
- /data/data/####/MATERIAL.xml
- /data/data/####/SELFIE_SWITCH_TABLE.xml
- /data/data/####/SETTING_INFO.xml
- /data/data/####/SP_TABLE_RANDOM.xml
- /data/data/####/SP_TAKEVIDEO_RESTORE.xml
- /data/data/####/TABLE_ACTIVITY.xml
- /data/data/####/TABLE_NAME_DOWNLOAD.xml
- /data/data/####/WHEECAM_SELFIE_TABLE.xml
- /data/data/####/analytics-android-1W42l0WdnsEDNTVJVD0H6krCZD3eVwPz.xml
- /data/data/####/appsflyer-data.xml
- /data/data/####/big_photo.xml
- /data/data/####/classes.dex
- /data/data/####/classes.oat
- /data/data/####/classes2.dex
- /data/data/####/com.google.android.gms.measurement.prefs.xml
- /data/data/####/downloadDb
- /data/data/####/downloadDb-journal
- /data/data/####/increment.db-journal
- /data/data/####/init.pid
- /data/data/####/libjiagu.so
- /data/data/####/net_table.xml
- /data/data/####/proc_auxv
- /data/data/####/push.pid
- /data/data/####/push.xml
- /data/data/####/pushsdk.db-journal
- /data/data/####/pushsdk.db-journal (deleted)
- /data/data/####/qihoo_jiagu_crash_report.xml
- /data/data/####/run.pid
- /data/data/####/setting.xml
- /data/data/####/sp_start_up_page.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_general_config.xml.bak
- /data/data/####/umeng_it.cache
- /data/media/####/.DS_Store
- /data/media/####/._.DS_Store
- /data/media/####/._01_gg.png
- /data/media/####/._03_by.png
- /data/media/####/._03_ygg_you.png
- /data/media/####/._03_ygg_zuo.png
- /data/media/####/._03_yw_lut.png
- /data/media/####/._03_ywyy.png
- /data/media/####/._06_sh.png
- /data/media/####/._131_GlobalColor.png
- /data/media/####/._131_eyelut.png
- /data/media/####/._131_mmy.png
- /data/media/####/._131_mmz.png
- /data/media/####/._131_mt.png
- /data/media/####/._131_sh.png
- /data/media/####/._131_yyy.png
- /data/media/####/._131_yyz.png
- /data/media/####/._131_yyzg.png
- /data/media/####/._131_z_lut.png
- /data/media/####/._131_zyzg.png
- /data/media/####/._13_GlobalColor.png
- /data/media/####/._13_mm_you.png
- /data/media/####/._13_mm_zuo.png
- /data/media/####/._13_sh.png
- /data/media/####/._13_yxjm_you.png
- /data/media/####/._13_yxjm_zuo.png
- /data/media/####/._13_z_lut.png
- /data/media/####/._14_GlobalColor.png
- /data/media/####/._14_by.png
- /data/media/####/._14_jmyx_you.png
- /data/media/####/._14_jmyx_zuo.png
- /data/media/####/._14_mm_you.png
- /data/media/####/._14_mm_zuo.png
- /data/media/####/._14_yjlp_you.png
- /data/media/####/._14_yjlp_zuo.png
- /data/media/####/._14_yy_you.png
- /data/media/####/._14_yy_zuo.png
- /data/media/####/._14_z_lut.png
- /data/media/####/._183-l-y.png
- /data/media/####/._183-l-z.png
- /data/media/####/._19_GlobalColor.png
- /data/media/####/._19_jmy.png
- /data/media/####/._19_jmz.png
- /data/media/####/._19_mmy.png
- /data/media/####/._19_mmz.png
- /data/media/####/._19_sh.png
- /data/media/####/._19_z_lut.png
- /data/media/####/._29_GlobalColor.png
- /data/media/####/._29_jmyx_you.png
- /data/media/####/._29_jmyx_zuo.png
- /data/media/####/._29_mm_you.png
- /data/media/####/._29_mm_zuo.png
- /data/media/####/._29_sh1.png
- /data/media/####/._29_sh2.png
- /data/media/####/._29_yy_you.png
- /data/media/####/._29_yy_zuo.png
- /data/media/####/._29_yygg_you.png
- /data/media/####/._29_yygg_zuo.png
- /data/media/####/._29_z_lut.png
- /data/media/####/._305-by.png
- /data/media/####/._305-mt.png
- /data/media/####/._305-mt7.png
- /data/media/####/._305-sh.png
- /data/media/####/._305-y-mm.png
- /data/media/####/._305-y-yygg.png
- /data/media/####/._305-y-yz.png
- /data/media/####/._305-z-mm.png
- /data/media/####/._305-z-yygg.png
- /data/media/####/._305_GlobalColor.png
- /data/media/####/._305_aj.png
- /data/media/####/._305_first.png
- /data/media/####/._305_sc.png
- /data/media/####/._309_GlobalColor.png
- /data/media/####/._309_b_gg.png
- /data/media/####/._309_first.png
- /data/media/####/._309_mt.png
- /data/media/####/._309_sh_final.png
- /data/media/####/._309_sllsc.png
- /data/media/####/._309_y_mm.png
- /data/media/####/._309_y_yygg.png
- /data/media/####/._309_y_yz.png
- /data/media/####/._309_yl_final.png
- /data/media/####/._309_ylyznew.png
- /data/media/####/._309_z-yygg.png
- /data/media/####/._309_z_mm.png
- /data/media/####/._309_z_yz.png
- /data/media/####/._309_zc.png
- /data/media/####/._309_zcgg.png
- /data/media/####/._35_GlobalColor.png
- /data/media/####/._35_jmy.png
- /data/media/####/._35_jmz.png
- /data/media/####/._35_mmy.png
- /data/media/####/._35_mmz.png
- /data/media/####/._35_sh.png
- /data/media/####/._35_yyy.png
- /data/media/####/._35_yyz.png
- /data/media/####/._35_z_lut.png
- /data/media/####/._38_GlobalColor.png
- /data/media/####/._38_jm_you.png
- /data/media/####/._38_jm_zuo.png
- /data/media/####/._38_mm_you.png
- /data/media/####/._38_mm_zuo.png
- /data/media/####/._38_sh.png
- /data/media/####/._38_yy_you.png
- /data/media/####/._38_yy_zuo.png
- /data/media/####/._38_z_lut.png
- /data/media/####/._40_mmy.png
- /data/media/####/._40_mmz.png
- /data/media/####/._42_GlobalColor.png
- /data/media/####/._42_jmy.png
- /data/media/####/._42_jmz.png
- /data/media/####/._42_sh.png
- /data/media/####/._42_yyy.png
- /data/media/####/._42_yyz.png
- /data/media/####/._42_z_lut.png
- /data/media/####/._53_GlobalColor.png
- /data/media/####/._53_by.png
- /data/media/####/._53_mmy.png
- /data/media/####/._53_mmz.png
- /data/media/####/._53_sh.png
- /data/media/####/._53_yw_lut.png
- /data/media/####/._53_ywyy.png
- /data/media/####/._53_yxy.png
- /data/media/####/._53_yxz.png
- /data/media/####/._53_yyy.png
- /data/media/####/._53_yyz.png
- /data/media/####/._53_z_lut.png
- /data/media/####/._59_GlobalColor.png
- /data/media/####/._59_by.png
- /data/media/####/._59_mm_you.png
- /data/media/####/._59_mm_zuo.png
- /data/media/####/._59_sh.png
- /data/media/####/._59_yw_lut.png
- /data/media/####/._59_ywyy.png
- /data/media/####/._59_yyzg_you.png
- /data/media/####/._59_yyzg_zuo.png
- /data/media/####/._59_yz_you.png
- /data/media/####/._59_yz_zuo.png
- /data/media/####/._59_z_lut.png
- /data/media/####/._66_GlobalColor.png
- /data/media/####/._66_jmy.png
- /data/media/####/._66_jmz.png
- /data/media/####/._66_mmy.png
- /data/media/####/._66_mmz.png
- /data/media/####/._66_sh.png
- /data/media/####/._66_yyy.png
- /data/media/####/._66_yyz.png
- /data/media/####/._66_z_lut.png
- /data/media/####/._68_z_lut.png
- /data/media/####/._69_GlobalColor.png
- /data/media/####/._69_ggy.png
- /data/media/####/._69_ggz.png
- /data/media/####/._69_jmy.png
- /data/media/####/._69_jmz.png
- /data/media/####/._69_mmy.png
- /data/media/####/._69_mmz.png
- /data/media/####/._69_sh.png
- /data/media/####/._69_yyy.png
- /data/media/####/._69_yyz.png
- /data/media/####/._69_z1.png
- /data/media/####/._69_z2.png
- /data/media/####/._82_GlobalColor.png
- /data/media/####/._82_by.png
- /data/media/####/._82_eyelut.png
- /data/media/####/._82_mm_you.png
- /data/media/####/._82_mm_zuo.png
- /data/media/####/._82_mt.png
- /data/media/####/._82_sh.png
- /data/media/####/._82_yyzg_you.png
- /data/media/####/._82_yyzg_zuo.png
- /data/media/####/._82_yz_you.png
- /data/media/####/._82_yz_zuo.png
- /data/media/####/._82_z.png
- /data/media/####/._82_z_lut.png
- /data/media/####/._watermark_en.png
- /data/media/####/._watermark_tw.png
- /data/media/####/._watermark_zh.png
- /data/media/####/._z-yz.png
- /data/media/####/._zc.png
- /data/media/####/._zcgg.png
- /data/media/####/.nomedia
- /data/media/####/01_gg.png
- /data/media/####/03_by.png
- /data/media/####/03_ygg_you.png
- /data/media/####/03_ygg_zuo.png
- /data/media/####/03_yw_lut.png
- /data/media/####/03_ywyy.png
- /data/media/####/06_sh.png
- /data/media/####/131_GlobalColor.png
- /data/media/####/131_eyelut.png
- /data/media/####/131_mmy.png
- /data/media/####/131_mmz.png
- /data/media/####/131_mt.png
- /data/media/####/131_sh.png
- /data/media/####/131_yyy.png
- /data/media/####/131_yyz.png
- /data/media/####/131_yyzg.png
- /data/media/####/131_z_lut.png
- /data/media/####/131_zyzg.png
- /data/media/####/13_GlobalColor.png
- /data/media/####/13_mm_you.png
- /data/media/####/13_mm_zuo.png
- /data/media/####/13_sh.png
- /data/media/####/13_yxjm_you.png
- /data/media/####/13_yxjm_zuo.png
- /data/media/####/13_z_lut.png
- /data/media/####/14_GlobalColor.png
- /data/media/####/14_by.png
- /data/media/####/14_jmyx_you.png
- /data/media/####/14_jmyx_zuo.png
- /data/media/####/14_mm_you.png
- /data/media/####/14_mm_zuo.png
- /data/media/####/14_yjlp_you.png
- /data/media/####/14_yjlp_zuo.png
- /data/media/####/14_yy_you.png
- /data/media/####/14_yy_zuo.png
- /data/media/####/14_z_lut.png
- /data/media/####/183-l-y.png
- /data/media/####/183-l-z.png
- /data/media/####/19_GlobalColor.png
- /data/media/####/19_jmy.png
- /data/media/####/19_jmz.png
- /data/media/####/19_mmy.png
- /data/media/####/19_mmz.png
- /data/media/####/19_sh.png
- /data/media/####/19_z_lut.png
- /data/media/####/29_GlobalColor.png
- /data/media/####/29_jmyx_you.png
- /data/media/####/29_jmyx_zuo.png
- /data/media/####/29_mm_you.png
- /data/media/####/29_mm_zuo.png
- /data/media/####/29_sh1.png
- /data/media/####/29_sh2.png
- /data/media/####/29_yy_you.png
- /data/media/####/29_yy_zuo.png
- /data/media/####/29_yygg_you.png
- /data/media/####/29_yygg_zuo.png
- /data/media/####/29_z_lut.png
- /data/media/####/305-by.png
- /data/media/####/305-mt.png
- /data/media/####/305-mt7.png
- /data/media/####/305-sh.png
- /data/media/####/305-y-mm.png
- /data/media/####/305-y-yygg.png
- /data/media/####/305-y-yz.png
- /data/media/####/305-z-mm.png
- /data/media/####/305-z-yygg.png
- /data/media/####/305_GlobalColor.png
- /data/media/####/305_aj.png
- /data/media/####/305_first.png
- /data/media/####/305_sc.png
- /data/media/####/309_GlobalColor.png
- /data/media/####/309_b_gg.png
- /data/media/####/309_first.png
- /data/media/####/309_mt.png
- /data/media/####/309_sh_final.png
- /data/media/####/309_sllsc.png
- /data/media/####/309_y_mm.png
- /data/media/####/309_y_yygg.png
- /data/media/####/309_y_yz.png
- /data/media/####/309_yl_final.png
- /data/media/####/309_ylyznew.png
- /data/media/####/309_z-yygg.png
- /data/media/####/309_z_mm.png
- /data/media/####/309_z_yz.png
- /data/media/####/309_zc.png
- /data/media/####/309_zcgg.png
- /data/media/####/35_GlobalColor.png
- /data/media/####/35_jmy.png
- /data/media/####/35_jmz.png
- /data/media/####/35_mmy.png
- /data/media/####/35_mmz.png
- /data/media/####/35_sh.png
- /data/media/####/35_yyy.png
- /data/media/####/35_yyz.png
- /data/media/####/35_z_lut.png
- /data/media/####/38_GlobalColor.png
- /data/media/####/38_jm_you.png
- /data/media/####/38_jm_zuo.png
- /data/media/####/38_mm_you.png
- /data/media/####/38_mm_zuo.png
- /data/media/####/38_sh.png
- /data/media/####/38_yy_you.png
- /data/media/####/38_yy_zuo.png
- /data/media/####/38_z_lut.png
- /data/media/####/40_mmy.png
- /data/media/####/40_mmz.png
- /data/media/####/42_GlobalColor.png
- /data/media/####/42_jmy.png
- /data/media/####/42_jmz.png
- /data/media/####/42_sh.png
- /data/media/####/42_yyy.png
- /data/media/####/42_yyz.png
- /data/media/####/42_z_lut.png
- /data/media/####/53_GlobalColor.png
- /data/media/####/53_by.png
- /data/media/####/53_mmy.png
- /data/media/####/53_mmz.png
- /data/media/####/53_sh.png
- /data/media/####/53_yw_lut.png
- /data/media/####/53_ywyy.png
- /data/media/####/53_yxy.png
- /data/media/####/53_yxz.png
- /data/media/####/53_yyy.png
- /data/media/####/53_yyz.png
- /data/media/####/53_z_lut.png
- /data/media/####/59_GlobalColor.png
- /data/media/####/59_by.png
- /data/media/####/59_mm_you.png
- /data/media/####/59_mm_zuo.png
- /data/media/####/59_sh.png
- /data/media/####/59_yw_lut.png
- /data/media/####/59_ywyy.png
- /data/media/####/59_yyzg_you.png
- /data/media/####/59_yyzg_zuo.png
- /data/media/####/59_yz_you.png
- /data/media/####/59_yz_zuo.png
- /data/media/####/59_z_lut.png
- /data/media/####/66_GlobalColor.png
- /data/media/####/66_jmy.png
- /data/media/####/66_jmz.png
- /data/media/####/66_mmy.png
- /data/media/####/66_mmz.png
- /data/media/####/66_sh.png
- /data/media/####/66_yyy.png
- /data/media/####/66_yyz.png
- /data/media/####/66_z_lut.png
- /data/media/####/68_z_lut.png
- /data/media/####/69_GlobalColor.png
- /data/media/####/69_ggy.png
- /data/media/####/69_ggz.png
- /data/media/####/69_jmy.png
- /data/media/####/69_jmz.png
- /data/media/####/69_mmy.png
- /data/media/####/69_mmz.png
- /data/media/####/69_sh.png
- /data/media/####/69_yyy.png
- /data/media/####/69_yyz.png
- /data/media/####/69_z1.png
- /data/media/####/69_z2.png
- /data/media/####/82_GlobalColor.png
- /data/media/####/82_by.png
- /data/media/####/82_eyelut.png
- /data/media/####/82_mm_you.png
- /data/media/####/82_mm_zuo.png
- /data/media/####/82_mt.png
- /data/media/####/82_sh.png
- /data/media/####/82_yyzg_you.png
- /data/media/####/82_yyzg_zuo.png
- /data/media/####/82_yz_you.png
- /data/media/####/82_yz_zuo.png
- /data/media/####/82_z.png
- /data/media/####/82_z_lut.png
- /data/media/####/PSBurn100.jpg
- /data/media/####/PSDarken100.jpg
- /data/media/####/PSLight100.jpg
- /data/media/####/PSLinearLight40.png
- /data/media/####/PSMultiply100.jpg
- /data/media/####/PSOverlay.png
- /data/media/####/PSOverlay100.jpg
- /data/media/####/PSScreen100.jpg
- /data/media/####/PSSoftlight100.jpg
- /data/media/####/PSSunshine100.jpg
- /data/media/####/Polka_01.mp4
- /data/media/####/Polka_02.mp4
- /data/media/####/Polka_03.mp4
- /data/media/####/Polka_04.mp4
- /data/media/####/TeethWhiteLut.png
- /data/media/####/XQDHX_gs.mp4
- /data/media/####/XQDHX_mask.mp4
- /data/media/####/XQDHX_tq.mp4
- /data/media/####/XQDHX_xq.mp4
- /data/media/####/anjiao01.jpg
- /data/media/####/app.db
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/com.meitu.meiyancamera.db
- /data/media/####/com.tencent.mobileqq_connectSdk.22.03.09.21.log
- /data/media/####/fidsB.bin
- /data/media/####/fidsG.bin
- /data/media/####/fidsR.bin
- /data/media/####/journal
- /data/media/####/mask.jpg
- /data/media/####/material.zip
- /data/media/####/music_1001.mp3
- /data/media/####/music_1002.mp3
- /data/media/####/music_1003.mp3
- /data/media/####/music_1004.mp3
- /data/media/####/thrsB.bin
- /data/media/####/thrsG.bin
- /data/media/####/thrsR.bin
- /data/media/####/tuneTable
- /data/media/####/uuid.txt
- /data/media/####/watermark_en.png
- /data/media/####/watermark_tw.png
- /data/media/####/watermark_zh.png
- /data/media/####/white.jpg
- /data/media/####/wm_001_1.mp4
- /data/media/####/wm_002_1.mp4
- /data/media/####/wm_003_1.mp4
- /data/media/####/wm_004_1.mp4
- /data/media/####/wm_005_1.mp4
- /data/media/####/wm_006_1.mp4
- /data/media/####/wm_007_1.mp4
- /data/media/####/ysFernB.bin
- /data/media/####/ysFernG.bin
- /data/media/####/ysFernR.bin
- /data/media/####/z-yz.png
- /data/media/####/zc.png
- /data/media/####/zcgg.png
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
Загружает динамические библиотеки:
- libMeituFDFA
- libana-sdk
- libandroid-image
- libeffect_core
- libjiagu
- libmtbana-rsa-sdk
- libmtcrashhandler
- libmtcrypt
- libmtfacedetect
- libmtmakeup
- libmttypes
Использует следующие алгоритмы для шифрования данных:
- RSA-ECB-PKCS1Padding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию о настроках APN.
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Запрашивает разрешение на отображение системных уведомлений.
