Android.Gexin.1555

Техническая информация

Вредоносные функции:

Выполняет код следующих детектируемых угроз:

Android.Gexin.1

Сетевая активность:

Подключается к:

UDP(DNS) 8####.8.4.4:53
TCP(HTTP/1.1) www.apic####.com:80
TCP(HTTP/1.1) r.apic####.com:80
TCP(HTTP/1.1) loc.map.b####.com:80
TCP(TLS/1.0) r.apic####.com:443
TCP(TLS/1.0) p####.google####.com:443
TCP(TLS/1.0) s####.map.b####.com:443
TCP(TLS/1.0) and####.google####.com:443
TCP(TLS/1.0) and####.cli####.go####.com:443
TCP(TLS/1.0) 2####.58.208.99:443
TCP(TLS/1.0) 1####.251.36.42:443
TCP(TLS/1.0) and####.a####.go####.com:443
TCP(TLS/1.2) and####.google####.com:443

Запросы DNS:

a.apic####.com
and####.a####.go####.com
and####.cli####.go####.com
and####.google####.com
loc.map.b####.com
m####.go####.com
p####.google####.com
pla####.googleu####.com
r.apic####.com
s####.map.b####.com
www.apic####.com

Запросы HTTP GET:

r.apic####.com/start_page/82/6b/826bfcd54523da0f4f8a5ca4c8d29da9.480x800...
www.apic####.com/zip/ver/01/cf/01cf3f393ea6e0bb2d12672945e03bcf.zip
www.apic####.com/zip/ver/4d/b8/4db8f18441729f891b7193b091f74b40.zip

Запросы HTTP POST:

loc.map.b####.com/offline_loc
loc.map.b####.com/sdk.php
r.apic####.com/AM_Service_API/IncpkgUpdateStatusReport
r.apic####.com:443/AM_Service_API/StartupReport
s####.map.b####.com:443/sdkcs/verify

Изменения в файловой системе:

Создает следующие файлы:

/data/data/####/.APIcloud
/data/data/####/.jg.ic
/data/data/####/.project
/data/data/####/1.png
/data/data/####/2.png
/data/data/####/3.png
/data/data/####/4.png
/data/data/####/APICloud-rest.js
/data/data/####/AudioPlayer.swf
/data/data/####/Cookies-journal
/data/data/####/H.js
/data/data/####/H5lock.js
/data/data/####/Hui.css
/data/data/####/Hui.ttf
/data/data/####/Info.plist
/data/data/####/SHA1.js
/data/data/####/SewisePlayer.swf
/data/data/####/Sortable.min.js
/data/data/####/UzAppStorage.xml
/data/data/####/UzLocalStorage.xml
/data/data/####/WebViewChromiumPrefs.xml
/data/data/####/about.html
/data/data/####/about_frame.html
/data/data/####/about_logo.png
/data/data/####/actDetail-con.js
/data/data/####/actDetail.css
/data/data/####/activity.css
/data/data/####/activity.html
/data/data/####/activity_frame.html
/data/data/####/activitylist_frame.html
/data/data/####/add.jpg
/data/data/####/analytics_run_info.xml
/data/data/####/api.css
/data/data/####/api.js
/data/data/####/around.png
/data/data/####/arrow.png
/data/data/####/arrow_down_groupbuy.png
/data/data/####/arrow_down_home.png
/data/data/####/arrow_up.png
/data/data/####/aui-iconfont.2.0.ttf
/data/data/####/aui-slide.css
/data/data/####/aui-slide.js
/data/data/####/aui.2.0.css
/data/data/####/aui.css
/data/data/####/authStatus_com.o18372148.bqappdemo.xml
/data/data/####/back-video.png
/data/data/####/back.png
/data/data/####/banner.jpg
/data/data/####/banner2.jpg
/data/data/####/beauty.png
/data/data/####/bg.jpg
/data/data/####/big_play_btn.png
/data/data/####/buffer.gif
/data/data/####/buffer.png
/data/data/####/building.js
/data/data/####/buildinginfo.html
/data/data/####/buildinginfo_frame.html
/data/data/####/buildinglist.html
/data/data/####/buildinglist_frame.html
/data/data/####/carousel-style.css
/data/data/####/carousel.css
/data/data/####/carousel.js
/data/data/####/children.png
/data/data/####/cityList.json
/data/data/####/citylist.html
/data/data/####/clarity_btn_bg.png
/data/data/####/classes.dex
/data/data/####/classes.oat
/data/data/####/classes2.dex
/data/data/####/close.png
/data/data/####/collect.png
/data/data/####/collect2.png
/data/data/####/com.o18372148.bqappdemo_preferences.xml
/data/data/####/comment.png
/data/data/####/common.css
/data/data/####/common.js
/data/data/####/config.xml
/data/data/####/content.html
/data/data/####/content_frame.html
/data/data/####/controlbar.png
/data/data/####/controlbarbg.jpg
/data/data/####/copy.png
/data/data/####/db_o2o-journal
/data/data/####/dcvideo.html
/data/data/####/dcvideo_frame.html
/data/data/####/decorate.png
/data/data/####/default-skin.css
/data/data/####/default-skin.png
/data/data/####/default-skin.svg
/data/data/####/default1.jpg
/data/data/####/demo.css
/data/data/####/demo.js
/data/data/####/design.png
/data/data/####/design_act.png
/data/data/####/design_frame.html
/data/data/####/designerinfo.html
/data/data/####/designerinfo_frame.html
/data/data/####/designerlist.html
/data/data/####/designerlist_frame.html
/data/data/####/dessert.png
/data/data/####/discount.png
/data/data/####/discovery.css
/data/data/####/discovery.png
/data/data/####/discovery_act.png
/data/data/####/discovery_frame.html
/data/data/####/discovery_push.html
/data/data/####/discovery_push_frame.html
/data/data/####/discovery_push_frame.js
/data/data/####/doT.min.js
/data/data/####/echarts.simple.min.js
/data/data/####/echo.min.js
/data/data/####/empty_page_nothing.png
/data/data/####/eye.png
/data/data/####/favorite.html
/data/data/####/favorite_frame.html
/data/data/####/fb.png
/data/data/####/fe7352f3.png
/data/data/####/feedback.html
/data/data/####/feedback_frame.html
/data/data/####/firll.dat
/data/data/####/food.png
/data/data/####/forget_password.html
/data/data/####/forget_password_frame.html
/data/data/####/forget_password_submit.html
/data/data/####/forget_password_submit_frame.html
/data/data/####/gongdi.png
/data/data/####/gongzhang.png
/data/data/####/gq_bg_03.png
/data/data/####/gqym_bg_10.png
/data/data/####/gz.css
/data/data/####/gz.png
/data/data/####/gz_star.png
/data/data/####/gz_tips.png
/data/data/####/gz_yy_01.png
/data/data/####/gz_zjgd_03.png
/data/data/####/hammer.min.js
/data/data/####/hd.png
/data/data/####/home.png
/data/data/####/home_act.png
/data/data/####/home_frame.html
/data/data/####/home_frame.js
/data/data/####/home_serve_dot.png
/data/data/####/hongquan.png
/data/data/####/hotel.png
/data/data/####/house.png
/data/data/####/ic_fab_camera.png
/data/data/####/ic_qq_login.png
/data/data/####/ic_renren_login.png
/data/data/####/ic_tencent_login.png
/data/data/####/ic_weibo_login.png
/data/data/####/ic_weixin_login.png
/data/data/####/icn1.png
/data/data/####/icn2.png
/data/data/####/icn_login.png
/data/data/####/icomoon.eot
/data/data/####/icomoon.svg
/data/data/####/icomoon.ttf
/data/data/####/icomoon.woff
/data/data/####/icon150x150.png
/data/data/####/index
/data/data/####/index.html
/data/data/####/indicator.png
/data/data/####/indicator_act.png
/data/data/####/info.html
/data/data/####/info_frame.html
/data/data/####/jc.png
/data/data/####/jia.png
/data/data/####/jquery.min.js
/data/data/####/ktv.png
/data/data/####/launch1080x1920.png
/data/data/####/lg.png
/data/data/####/libjiagu.so
/data/data/####/line.png
/data/data/####/list.js
/data/data/####/list1.js
/data/data/####/listreply.js
/data/data/####/loading_more.gif
/data/data/####/local.js
/data/data/####/localdb.js
/data/data/####/location_icon.png
/data/data/####/login.png
/data/data/####/login01.png
/data/data/####/login02.png
/data/data/####/login03.png
/data/data/####/login_arrow_down.png
/data/data/####/login_arrow_up.png
/data/data/####/login_choose.html
/data/data/####/login_choose_frame.html
/data/data/####/login_choose_frame.js
/data/data/####/login_ico_weibo.png
/data/data/####/login_ico_zhifubo.png
/data/data/####/login_mobile.html
/data/data/####/login_mobile_frame.html
/data/data/####/logo.png
/data/data/####/logo_weixinpay.png
/data/data/####/mac.xml
/data/data/####/main.html
/data/data/####/management.html
/data/data/####/management_frame.html
/data/data/####/map.html
/data/data/####/map_frame.html
/data/data/####/marry.png
/data/data/####/massage.png
/data/data/####/message.html
/data/data/####/metrics_guid
/data/data/####/mic.png
/data/data/####/more.png
/data/data/####/more_back.png
/data/data/####/movie.png
/data/data/####/msg_home.png
/data/data/####/my.png
/data/data/####/my_act.png
/data/data/####/my_bg.png
/data/data/####/my_design_frame.html
/data/data/####/my_discovery.html
/data/data/####/my_discovery_frame.html
/data/data/####/my_frame.html
/data/data/####/my_frame.js
/data/data/####/my_report_frame.html
/data/data/####/my_video_frame.html
/data/data/####/myfavorite.html
/data/data/####/myfavorite_frame.html
/data/data/####/myhistory.html
/data/data/####/myhistory_frame.html
/data/data/####/myscanner.html
/data/data/####/myscanner_frame.html
/data/data/####/nearbuildingmap_frame.html
/data/data/####/news.png
/data/data/####/news_act.png
/data/data/####/news_frame.html
/data/data/####/no_message.png
/data/data/####/ofl.config
/data/data/####/ofl_location.db
/data/data/####/ofl_location.db-journal
/data/data/####/ofl_statistics.db
/data/data/####/ofl_statistics.db-journal
/data/data/####/open.png
/data/data/####/other_login.png
/data/data/####/p1_mk1.png
/data/data/####/personal_icon_arrow.png
/data/data/####/persondefault.jpg
/data/data/####/persondefault.png
/data/data/####/pet.png
/data/data/####/phone.png
/data/data/####/photo.html
/data/data/####/photo.js
/data/data/####/photo1building.html
/data/data/####/photo2building.html
/data/data/####/photo3building.html
/data/data/####/photo4building.html
/data/data/####/photo5building.html
/data/data/####/photodiscovery.html
/data/data/####/photonews.html
/data/data/####/photoreport.html
/data/data/####/photoswipe-ui-default.js
/data/data/####/photoswipe-ui-default.min.js
/data/data/####/photoswipe.css
/data/data/####/photoswipe.js
/data/data/####/photoswipe.min.js
/data/data/####/photoudesigner.html
/data/data/####/photouser.html
/data/data/####/pic22.png
/data/data/####/pic23.png
/data/data/####/pic3.png
/data/data/####/pic4.png
/data/data/####/pic5.png
/data/data/####/pic_login.png
/data/data/####/plus.png
/data/data/####/praise.png
/data/data/####/preloader.gif
/data/data/####/proc_auxv
/data/data/####/pub.png
/data/data/####/qq.png
/data/data/####/qrcode_search.png
/data/data/####/rank.png
/data/data/####/refresh_cancel.png
/data/data/####/register_mobile.html
/data/data/####/register_mobile_frame.html
/data/data/####/register_mobile_submit.html
/data/data/####/register_mobile_submit_frame.html
/data/data/####/relax.png
/data/data/####/remark.png
/data/data/####/remotedb.js
/data/data/####/remotedb1.js
/data/data/####/request.js
/data/data/####/require1.html
/data/data/####/require1_frame.html
/data/data/####/require2.html
/data/data/####/require2_frame.html
/data/data/####/require3.html
/data/data/####/require3_frame.html
/data/data/####/reserve.png
/data/data/####/responsive_waterfall.js
/data/data/####/review.html
/data/data/####/review_frame.html
/data/data/####/ring.png
/data/data/####/s1.png
/data/data/####/sc.png
/data/data/####/search_groupbuy.png
/data/data/####/search_home.html
/data/data/####/search_home.png
/data/data/####/search_home1.html
/data/data/####/search_home_frame.html
/data/data/####/search_home_frame1.html
/data/data/####/search_result.html
/data/data/####/search_result_frame.html
/data/data/####/seji.png
/data/data/####/selection.json
/data/data/####/setting.html
/data/data/####/setting_frame.html
/data/data/####/setting_image.html
/data/data/####/setting_image_frame.html
/data/data/####/sewise.player.hlsjs.min.js
/data/data/####/sewise.player.min.js
/data/data/####/sewise.player.vr.min.js
/data/data/####/sewiseplayer.css
/data/data/####/shangjia.png
/data/data/####/share.png
/data/data/####/share2.png
/data/data/####/share_frame.html
/data/data/####/share_to_icon_copy.png
/data/data/####/share_to_icon_mail.png
/data/data/####/share_to_icon_qq.png
/data/data/####/share_to_icon_qzone.png
/data/data/####/share_to_icon_sms.png
/data/data/####/share_to_icon_weibo.png
/data/data/####/share_to_icon_wx.png
/data/data/####/share_to_icon_wxq.png
/data/data/####/shejitu.jpg
/data/data/####/shop.html
/data/data/####/shop_frame.html
/data/data/####/shoplist.html
/data/data/####/shoplist_frame.html
/data/data/####/shopping.png
/data/data/####/sj.png
/data/data/####/sjt.jpg
/data/data/####/skin.css
/data/data/####/skin.html
/data/data/####/skin.html.js
/data/data/####/small_bg_14.png
/data/data/####/snack.png
/data/data/####/sport.png
/data/data/####/style.css
/data/data/####/swfobject.js
/data/data/####/swipe.js
/data/data/####/swiper.min.css
/data/data/####/swiper.min.js
/data/data/####/switch_off.png
/data/data/####/switch_on.png
/data/data/####/sx.png
/data/data/####/t5.png
/data/data/####/takeaway.png
/data/data/####/tel.png
/data/data/####/test.html
/data/data/####/the-real-index
/data/data/####/tips6.png
/data/data/####/tips6_active.png
/data/data/####/tips7.png
/data/data/####/tips7_active.png
/data/data/####/trip.png
/data/data/####/tuan_review_bad.png
/data/data/####/tuan_review_good.png
/data/data/####/user_agreement.html
/data/data/####/user_agreement_frame.html
/data/data/####/usercenter.html
/data/data/####/usercenter_frame.html
/data/data/####/usersetnickname.html
/data/data/####/usersetnickname_frame.html
/data/data/####/usersetsummary.html
/data/data/####/usersetsummary_frame.html
/data/data/####/v.png
/data/data/####/video.html
/data/data/####/video.jpg
/data/data/####/wb.png
/data/data/####/welcome_frame_1.html
/data/data/####/welcome_frame_2.html
/data/data/####/welcome_frame_3.html
/data/data/####/workerinfo.html
/data/data/####/workerinfo_frame.html
/data/data/####/workerlist.html
/data/data/####/workerlist_frame.html
/data/data/####/wx.png
/data/data/####/zepto.js
/data/data/####/zepto.min.js
/data/media/####/.cuid
/data/media/####/.nomedia
/data/media/####/3b158978.zip
/data/media/####/conlts.dat
/data/media/####/d56c3b8b.zip
/data/media/####/ller.dat
/data/media/####/ls.db
/data/media/####/ls.db-journal
/data/misc/####/primary.prof

Другие:

Запускает следующие shell-скрипты:

chmod 755 <Package Folder>/.jiagu/libjiagu.so

Загружает динамические библиотеки:

libBaiduMapSDK_base_v3_6_1
libjiagu
liblocSDK6a
libsec

Использует следующие алгоритмы для шифрования данных:

AES-CBC-PKCS5Padding

Осуществляет доступ к приватному интерфейсу ITelephony.

Использует специальную библиотеку для скрытия исполняемого байт-кода.

Получает информацию о местоположении.

Получает информацию о сети.

Получает информацию о телефоне (номер, IMEI и т. д.).

Получает информацию об установленных приложениях.

Отрисовывает собственные окна поверх других приложений.

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней