Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(TLS/1.0) connect####.gst####.com:443
- TCP(TLS/1.0) perform####.dinghu####.com:443
- TCP(TLS/1.0) rr3---s####.g####.com:443
- TCP(TLS/1.0) 1####.251.46.202:443
- TCP(TLS/1.0) gmscomp####.google####.com:443
- TCP(TLS/1.0) u####.u####.com.####.com:443
- TCP(TLS/1.0) 1####.250.114.139:443
- TCP(TLS/1.0) def####.duals####.cn.####.com:443
- TCP(TLS/1.0) p####.google####.com:443
- TCP(TLS/1.0) rr2---s####.g####.com:443
- TCP(TLS/1.0) plb####.u####.com:443
- TCP(TLS/1.0) api.dinghu####.com:443
- TCP(TLS/1.0) res.dinghu####.com:443
- TCP(TLS/1.2) 1####.251.46.202:443
- TCP(TLS/1.2) 1####.250.115.94:443
- TCP(TLS/1.2) 1####.194.222.95:443
- TCP(TLS/1.2) 1####.177.14.147:443
- TCP(TLS/1.2) 2####.85.233.95:443
- TCP(TLS/1.2) 64.2####.162.95:443
Запросы DNS:
- a####.dinghu####.com
- api.dinghu####.com
- connect####.gst####.com
- gmscomp####.google####.com
- log.u####.com
- oss.dinghu####.com
- p####.google####.com
- perform####.dinghu####.com
- plb####.u####.com
- res.dinghu####.com
- rr2---s####.g####.com
- rr3---s####.g####.com
- u####.u####.com
Запросы HTTP GET:
- api.dinghu####.com:443/public/customer/getRegisterPrivacyProtocol?dbid=#...
- def####.duals####.cn.####.com:443/bar/get/53197de956240bc71600284e/?pcv=...
Запросы HTTP POST:
- plb####.u####.com:443/umpx_internal
- u####.u####.com.####.com:443/unify_logs
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/.jgck
- /data/data/####/0492a57c5a3e6b06_0 (deleted)
- /data/data/####/09c0421f77c8630c_0
- /data/data/####/09c0421f77c8630c_1
- /data/data/####/0d08c5c88b71f316_0 (deleted)
- /data/data/####/140a19329ef1e1ac_0
- /data/data/####/14e5e11d139e492f_0 (deleted)
- /data/data/####/1a4551aed26a7b3d_0
- /data/data/####/1e23af537620f827_0 (deleted)
- /data/data/####/30219c662a6f546b_0
- /data/data/####/30ebfa59800ee19e_0
- /data/data/####/30ebfa59800ee19e_1
- /data/data/####/32ef7ac017c011da_0 (deleted)
- /data/data/####/3449a7e5812afb04_0 (deleted)
- /data/data/####/3c8d9ad08db81656_0
- /data/data/####/4a3c0155f0a0a6e2_0
- /data/data/####/4a3c0155f0a0a6e2_1
- /data/data/####/51402e5f6ed49ad4_0
- /data/data/####/51402e5f6ed49ad4_1
- /data/data/####/5192399e2f8b4e2b_0 (deleted)
- /data/data/####/53cabefcb2ee1458_0
- /data/data/####/53cabefcb2ee1458_1
- /data/data/####/59203a179acfbbbd_0
- /data/data/####/59203a179acfbbbd_1
- /data/data/####/5d965b8568f15f6c_0
- /data/data/####/5d965b8568f15f6c_1
- /data/data/####/6551f8adb8a7d33e_0
- /data/data/####/6c827737c58c11e7_0
- /data/data/####/6c827737c58c11e7_1
- /data/data/####/71f3f16f3d6af20e_0 (deleted)
- /data/data/####/75a2206422262760_0 (deleted)
- /data/data/####/77e01693965e4006_0
- /data/data/####/8028db75dd212476_0
- /data/data/####/8028db75dd212476_1
- /data/data/####/84ca7d8b08b2355d_0
- /data/data/####/919df30b42f16015_0 (deleted)
- /data/data/####/94787857e4408175_0
- /data/data/####/94d0e0ac1122eccd_0
- /data/data/####/97d827c0d05eb7ec_0
- /data/data/####/97d827c0d05eb7ec_1
- /data/data/####/99c8babcde10e2b6_0
- /data/data/####/99c8babcde10e2b6_1
- /data/data/####/9cc5d803462a12cf_0
- /data/data/####/9e372277d887c886_0
- /data/data/####/9e372277d887c886_1
- /data/data/####/9e692b143718f5d0_0
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/Cookies-journal
- /data/data/####/UM_PROBE_DATA.xml
- /data/data/####/WebCookie.xml
- /data/data/####/WebViewChromiumPrefs.xml
- /data/data/####/a573d37d22ce3033_0
- /data/data/####/a922009f5ab3f8d3_0
- /data/data/####/a922009f5ab3f8d3_1
- /data/data/####/ab4f8124206199b1_0
- /data/data/####/ab4f8124206199b1_1
- /data/data/####/abf06a5836c66628_0 (deleted)
- /data/data/####/ae6eeee4735390f6_0 (deleted)
- /data/data/####/be7955569add609c_0 (deleted)
- /data/data/####/c8512e70f4071585_0
- /data/data/####/c8512e70f4071585_1
- /data/data/####/ca7edbc932e1143e_0
- /data/data/####/classes.dex
- /data/data/####/classes.dex;classes2.dex
- /data/data/####/classes.oat
- /data/data/####/com.ircloud.ydh.agents.ydh02964174_preferences.xml
- /data/data/####/d09f6ab92f6620eb_0 (deleted)
- /data/data/####/d2e18f25ec9f2018_0
- /data/data/####/d3b00054adc7e1d8_0 (deleted)
- /data/data/####/d3fa6a8173a8cbdb_0
- /data/data/####/d3fa6a8173a8cbdb_1
- /data/data/####/d4f94f968eb32a1b_0
- /data/data/####/d9e2b18921274530_0
- /data/data/####/d9e2b18921274530_1
- /data/data/####/dW1weF9pbnRlcm5hbF8xNzI1ODUzMjc3OTUy;
- /data/data/####/dW1weF9pbnRlcm5hbF8xNzI1ODUzMjczMzU2;
- /data/data/####/dW1weF9pbnRlcm5hbF8xNzI1ODUzMjg3NDI4;
- /data/data/####/dcab59191d1f9d25_0
- /data/data/####/dcab59191d1f9d25_1
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/f2d6abf1efaf4d49_0
- /data/data/####/f2d6abf1efaf4d49_1
- /data/data/####/fa55028403845a74_0
- /data/data/####/fb675f97cef4acce_0
- /data/data/####/fb999aba239fd7fa_0
- /data/data/####/fca862130e00a8de_0
- /data/data/####/fca862130e00a8de_1
- /data/data/####/ff32b5d9b255ab42_0
- /data/data/####/ff32b5d9b255ab42_1
- /data/data/####/https_agent.dinghuo123.com_0.localstorage-journal
- /data/data/####/i==1.2.0&&1.3.2567_1725853273535_envelope.log
- /data/data/####/i==1.2.0&&1.3.2567_1725853278071_envelope.log
- /data/data/####/i==1.2.0&&1.3.2567_1725853287419_envelope.log
- /data/data/####/index
- /data/data/####/info.xml
- /data/data/####/libjiagu.so
- /data/data/####/metrics_guid
- /data/data/####/proc_auxv
- /data/data/####/share.db-journal
- /data/data/####/the-real-index
- /data/data/####/um_pri.xml
- /data/data/####/umeng_common_config.xml
- /data/data/####/umeng_common_location.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/umeng_socialize.xml
- /data/data/####/xUtils_http_cookie.db
- /data/data/####/xUtils_http_cookie.db-journal
- /data/data/####/xUtils_http_cookie.db-journal (deleted)
- /data/data/####/xUtils_http_cookie.db-shm (deleted)
- /data/data/####/xUtils_http_cookie.db-wal (deleted)
- /data/data/####/ydh_config.xml
- /data/data/####/ydh_config.xml.bak
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/jiaxin_log_2024-09-09.log
- /data/media/####/sysid.dat
- /data/misc/####/primary.prof
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
- ls /
- ls /sys/class/thermal
Загружает динамические библиотеки:
- libfree-reflection
- libjiagu
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Отрисовывает собственные окна поверх других приложений.
Запрашивает разрешение на отображение системных уведомлений.
