Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Gexin.1
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/02a0cf7418943280_0
- /data/data/####/039872fc5f6aef78_0
- /data/data/####/03ea8afabf43f7ad_0
- /data/data/####/054569b667bccc84_0
- /data/data/####/056622f1022f32be_0
- /data/data/####/05fd28be1532070e_0
- /data/data/####/06685e60174f2e31_0
- /data/data/####/09032548d650f2f2_0
- /data/data/####/0bf1e549fc9f34c6_0
- /data/data/####/0e3d68dcbe9b432e_0
- /data/data/####/13f866f49b803503_0
- /data/data/####/150ba5eb5a15f33b_0
- /data/data/####/16f3a2b9e596e43d_0
- /data/data/####/1889ef1a96009f17_0
- /data/data/####/1a3465431e4b6d9d_0
- /data/data/####/1a3465431e4b6d9d_1
- /data/data/####/1b925a19c0fb9036_0
- /data/data/####/23408db831eab275_0
- /data/data/####/25e6b782d56b8ef6_0
- /data/data/####/28c46c1251c74298_0
- /data/data/####/2ad9c57a36a1a8c9_0
- /data/data/####/2c280ce8f143c07b_0
- /data/data/####/2c9ab9182beae3d2_0
- /data/data/####/2c9ab9182beae3d2_1
- /data/data/####/2e27b8e62d5fee0f_0
- /data/data/####/2e8f91f8e1d94f8b_0
- /data/data/####/3004a425da47f766_0
- /data/data/####/30d14d539f1d134b_0 (deleted)
- /data/data/####/3561ac812b525547_0
- /data/data/####/357545da99cd5db3_0
- /data/data/####/379748984a1d6731_0
- /data/data/####/3a517f1f39976b08_0
- /data/data/####/3afbf61b1c598919_0
- /data/data/####/3c5776a118f24805_0
- /data/data/####/3ed4f83825186739_0
- /data/data/####/41164fa25f348ac0_0
- /data/data/####/43e8bfdd8a524471_0
- /data/data/####/447a23a6e8a7ec43_0
- /data/data/####/45edf0e396d554a2_0
- /data/data/####/464dfcc7edd2b663_0
- /data/data/####/4cf019d45cdb4ae5_0
- /data/data/####/4cf019d45cdb4ae5_1
- /data/data/####/4d179d0882349e89_0
- /data/data/####/4d179d0882349e89_1
- /data/data/####/50618db0b3176295_0 (deleted)
- /data/data/####/52ab95e466422de3_0 (deleted)
- /data/data/####/55678c3eb2cbee60_0
- /data/data/####/577ed4513aacdda6_0
- /data/data/####/582f3e217f1aaf1c_0
- /data/data/####/5894aefa2c430b9a_0
- /data/data/####/5894aefa2c430b9a_1
- /data/data/####/59cdb9cbf2b6c87b_0
- /data/data/####/5a158d0ff7d7349f_0
- /data/data/####/5a9b6f8bb52dc1e1_0
- /data/data/####/5a9b6f8bb52dc1e1_1
- /data/data/####/5bc7afe25f3853c6_0
- /data/data/####/5d463c755505ab8b_0
- /data/data/####/5d463c755505ab8b_1
- /data/data/####/5d826508379f6cce_0
- /data/data/####/5dca413bd25af11e_0
- /data/data/####/5dca413bd25af11e_1
- /data/data/####/5fa650cf5df7940c_0
- /data/data/####/5fa650cf5df7940c_1
- /data/data/####/5fe3393e49b94f22_0
- /data/data/####/61e0daf58c2b4c43_0
- /data/data/####/62cc4f1b981d0ab6_0
- /data/data/####/6348c1a54734582b_0
- /data/data/####/64470e327d9f84e5_0
- /data/data/####/64470e327d9f84e5_1
- /data/data/####/66e53f1cb4d93be5_0
- /data/data/####/6bdb599669de5d84_0
- /data/data/####/7235807c804eee12_0
- /data/data/####/7235807c804eee12_1
- /data/data/####/742d0567aa95c69b_0
- /data/data/####/75286b71841cad3a_0
- /data/data/####/75c20218474529ad_0 (deleted)
- /data/data/####/778ef4925a1bbee4_0
- /data/data/####/77d635c717b0662e_0
- /data/data/####/799696b814a97696_0
- /data/data/####/7b2541d6581eb7d1_0
- /data/data/####/7c6cc4e80b5ad1c1_0
- /data/data/####/7ff3eff1973e6a48_0
- /data/data/####/805532502652dd69_0
- /data/data/####/84b485368e13a79d_0
- /data/data/####/859346ae6ab119f8_0
- /data/data/####/8b124bd2a649e252_0
- /data/data/####/8bc0781da25fd687_0
- /data/data/####/8bc0781da25fd687_1
- /data/data/####/9090d683213d10cd_0
- /data/data/####/90db12b4b4c2cadc_0
- /data/data/####/90db12b4b4c2cadc_0 (deleted)
- /data/data/####/90e7bcfba912c539_0
- /data/data/####/929c857c9086
- /data/data/####/942c3d54e5ce6b9e_0
- /data/data/####/946c9cd49dda7d5e_0
- /data/data/####/957015e8fdfdf1e4_0
- /data/data/####/976129359fe1ad51_0
- /data/data/####/97af2022f654463e_0
- /data/data/####/9a0c630a79ad8b2a_0
- /data/data/####/9ac16c87a682ecbc_0
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/Cookies-journal
- /data/data/####/H5FA35F6A.xml
- /data/data/####/WebViewChromiumPrefs.xml
- /data/data/####/a28f46834c8bd078_0
- /data/data/####/a572d6d363c8ff76_0
- /data/data/####/a963c9a487efc8c1_0
- /data/data/####/b0562f3e69509584_0
- /data/data/####/b12bb93bf427c32c_0 (deleted)
- /data/data/####/b5763ecae1c26d5f_0
- /data/data/####/b602e1b53a9a3be1_0
- /data/data/####/c2f8f8193ec8a78d_0
- /data/data/####/c3444aae652a468c_0
- /data/data/####/c3444aae652a468c_1
- /data/data/####/ca031a16c1f9bf34_0
- /data/data/####/ca031a16c1f9bf34_1
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/cecc4fb2bfa64492_0 (deleted)
- /data/data/####/classes.dex
- /data/data/####/classes.oat
- /data/data/####/classes2.dex
- /data/data/####/clientid_igexin.xml
- /data/data/####/com.dcloud.ruzhouzaixian_preferences.xml
- /data/data/####/d363cc338f8c45cb_0 (deleted)
- /data/data/####/db8226f0bcbc00ba_0
- /data/data/####/e05c81fc060f338a_0
- /data/data/####/e2371cf45a150204_0
- /data/data/####/e312e6f428f3a20b_0
- /data/data/####/e577e23a948f59be_0
- /data/data/####/ea6d8642b56f64ae_0
- /data/data/####/ed47740aa143cfe6_0
- /data/data/####/f0f51aa273342c35_0
- /data/data/####/f10fe90723c2aef3_0
- /data/data/####/f7331ad292714084_0
- /data/data/####/fa2fb863db3e3e78_0
- /data/data/####/fb3d7756e558692d_0
- /data/data/####/ffd8ec20dbdc06ca_0
- /data/data/####/gkt-journal
- /data/data/####/gx_sp.xml
- /data/data/####/http_m.rz0375.com_0.localstorage-journal
- /data/data/####/increment.db-journal
- /data/data/####/index
- /data/data/####/init.pid
- /data/data/####/jg_app_update_settings_random.xml
- /data/data/####/libjiagu.so
- /data/data/####/metrics_guid
- /data/data/####/pdr.xml
- /data/data/####/push.pid
- /data/data/####/pushg.db-journal
- /data/data/####/pushsdk.db-journal
- /data/data/####/run.pid
- /data/data/####/tdata_EvJ733
- /data/data/####/tdata_EvJ733.dex
- /data/data/####/tdata_EvJ733.dex.flock (deleted)
- /data/data/####/tdata_EvJ733.jar
- /data/data/####/tdata_XwJ757.dex
- /data/data/####/tdata_XwJ757.dex.flock (deleted)
- /data/data/####/tdata_XwJ757.jar
- /data/data/####/tdata_XwJ757.tmp
- /data/data/####/the-real-index
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/app.db
- /data/media/####/com.dcloud.ruzhouzaixian.db
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/gkt
- /data/media/####/gkt-journal
- /data/media/####/gktper (deleted)
- /data/media/####/tdata_EvJ733
- /data/media/####/tdata_XwJ757
- /data/misc/####/primary.prof
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /proc/cpuinfo
- cat /proc/self/cgroup
- cat /sys/class/net/wlan0/address
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- mount
- sh
Загружает динамические библиотеки:
- libjiagu
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CFB-NoPadding
- AES-ECB-PKCS5Padding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CFB-NoPadding
- AES-ECB-PKCS5Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
Запрашивает разрешение на отображение системных уведомлений.
