Technical information
Malicious functions:
Executes code of the following detected threats:
- Adware.Gexin.2.origin
Network activity:
Connects to:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) et2-na6####.wagbr####.ali####.####.com:80
- TCP(TLS/1.0) av1.x####.com:443
- TCP(TLS/1.0) dualsta####.wagbr####.ali####.####.com:443
- TCP(TLS/1.0) c####.x####.com:443
- TCP(TLS/1.0) al####.u####.com:443
- TCP(TLS/1.0) i####.xing####.cn:443
- TCP(TLS/1.0) adt.x####.com:443
- TCP(TLS/1.0) and####.xing####.cn:443
- TCP(TLS/1.0) s####.ml####.cc:443
- TCP l.a####.com.cn:8080
DNS requests:
- adt.x####.com
- and####.xing####.cn
- av1.x####.com
- c####.x####.com
- i####.xing####.cn
- l.a####.com.cn
- log.u####.com
- plb####.u####.com
- s####.ml####.cc
- u####.u####.com
HTTP GET requests:
- et2-na6####.wagbr####.ali####.####.com/bar/get/5b67b501a40fa33d25000013/...
File system changes:
Creates the following files:
- /data/data/####/.cl
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/1599869284773_2193
- /data/data/####/1599869284832_2193
- /data/data/####/1599869285615_2193
- /data/data/####/1599869285704_2193
- /data/data/####/1599869286030_2193
- /data/data/####/1599869286203_2193
- /data/data/####/1599869286450_2193
- /data/data/####/1599869286848_2193
- /data/data/####/1599869286895_2193
- /data/data/####/1599869287610_2193
- /data/data/####/1599869287974_2193
- /data/data/####/1599869288320_2193
- /data/data/####/1599869288579_2193
- /data/data/####/1599869289180_2193
- /data/data/####/1599869290054_2193
- /data/data/####/1599869349008_2193
- /data/data/####/Archimedes_p1
- /data/data/####/Archimedes_p2
- /data/data/####/Archimedes_p3
- /data/data/####/Archimedes_p4
- /data/data/####/Archimedes_p5
- /data/data/####/MultiDex.lock
- /data/data/####/TD_app_pefercen_profile.xml
- /data/data/####/TDpref_cloudcontrol1.xml
- /data/data/####/TDpref_cloudcontrol2.xml
- /data/data/####/TDpref_longtime.xml
- /data/data/####/TDpref_longtime0.xml
- /data/data/####/TDpref_longtime1.xml
- /data/data/####/TDpref_shorttime.xml
- /data/data/####/TDpref_shorttime0.xml
- /data/data/####/TDpref_shorttime1.xml
- /data/data/####/UM_PROBE_DATA.xml
- /data/data/####/UserDATA.xml
- /data/data/####/ad_ad.png
- /data/data/####/ad_hd.png
- /data/data/####/ad_sl.png
- /data/data/####/ad_ts.png
- /data/data/####/ad_xz.png
- /data/data/####/ad_yl.png
- /data/data/####/adbj1.jpg
- /data/data/####/adbj2.jpg
- /data/data/####/award.png
- /data/data/####/banner.jpg
- /data/data/####/bj1-1.jpg
- /data/data/####/bj1-1.png
- /data/data/####/bj1-2.png
- /data/data/####/bj1-3.png
- /data/data/####/bj1-4.png
- /data/data/####/bj2.jpg
- /data/data/####/bn.jpg
- /data/data/####/buyadvip.html
- /data/data/####/buyadvipdetail.html
- /data/data/####/buyadviprecord.html
- /data/data/####/cashcomment.html
- /data/data/####/cashindex.html
- /data/data/####/cashmonth.html
- /data/data/####/category.css
- /data/data/####/category.html
- /data/data/####/category_index.css
- /data/data/####/categoryindex.html
- /data/data/####/categoryjuhedetails.html
- /data/data/####/categoryjuheindex.html
- /data/data/####/cc_bj.png
- /data/data/####/changenickname.html
- /data/data/####/chapter.html
- /data/data/####/choujiang-bg.png
- /data/data/####/choujiang.html
- /data/data/####/cjtk-tit.jpg
- /data/data/####/com.hongshu.xml
- /data/data/####/config.js
- /data/data/####/dW1weF9pbnRlcm5hbF8xNTk5ODY5MjgzNzcw;
- /data/data/####/dajiang-bg.png
- /data/data/####/dajing-bg2.png
- /data/data/####/draw-btn.png
- /data/data/####/error.png
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/faxian.css
- /data/data/####/feedback.html
- /data/data/####/feedbackindex.html
- /data/data/####/feedbackreply.html
- /data/data/####/fenlei-list.png
- /data/data/####/fensi.html
- /data/data/####/ft-1.png
- /data/data/####/ft-2.png
- /data/data/####/ft-3.png
- /data/data/####/functions.js
- /data/data/####/gdt_ad_info.xml
- /data/data/####/getfeedback.html
- /data/data/####/guafen.png
- /data/data/####/helparticle.html
- /data/data/####/hl_bj.png
- /data/data/####/hong.db-journal
- /data/data/####/hongabo.png
- /data/data/####/hongabo2.png
- /data/data/####/hsfirstopen.xml
- /data/data/####/i==1.2.0&&5.6.3_1599869284148_envelope.log
- /data/data/####/ic-fensi.png
- /data/data/####/ic-right.png
- /data/data/####/ic_active_bg.png
- /data/data/####/ic_autorenew.png
- /data/data/####/ic_clear.png
- /data/data/####/ic_loading.gif
- /data/data/####/ic_navigationbar_search_black.png
- /data/data/####/ic_no_dingyue_quepage.png
- /data/data/####/ic_no_fensibang_quepage.png
- /data/data/####/ic_no_xiaofei_quepage.png
- /data/data/####/ic_no_xiaoxi_quepage.png
- /data/data/####/ic_no_yunshujia_quepage.png
- /data/data/####/ic_qd_tz.png
- /data/data/####/ic_quan.png
- /data/data/####/ic_radio.png
- /data/data/####/ic_readlast.png
- /data/data/####/ic_renwu.png
- /data/data/####/ic_tubiao.png
- /data/data/####/ic_user_icon.png
- /data/data/####/ic_user_new_icon.png
- /data/data/####/ic_user_vip.png
- /data/data/####/ic_user_vip_bg_ing.png
- /data/data/####/ic_user_vip_bg_no.png
- /data/data/####/ic_weixin3.png
- /data/data/####/ic_wen.png
- /data/data/####/icon_mr.png
- /data/data/####/img.png
- /data/data/####/increment_65_68.zip;_t=1587972346 (deleted)
- /data/data/####/info.xml
- /data/data/####/inviteapprentices.html
- /data/data/####/invitecash.html
- /data/data/####/invited.html
- /data/data/####/inviteindex.html
- /data/data/####/invitemoney.html
- /data/data/####/iv
- /data/data/####/jianbian-bg-cj.png
- /data/data/####/jiangpin.png
- /data/data/####/jinbi.png
- /data/data/####/jquery-2.2.0.min.js
- /data/data/####/jquery.animateNumber.min.js
- /data/data/####/landminetracker.js
- /data/data/####/layer.js
- /data/data/####/lazyload.js
- /data/data/####/ldy_tb.jpg
- /data/data/####/libjiagu-1939308213.so
- /data/data/####/loading.gif
- /data/data/####/login.css
- /data/data/####/loginwithid.html
- /data/data/####/logstatic.js
- /data/data/####/maiDian.js
- /data/data/####/mobbind.html
- /data/data/####/moneyindex.html
- /data/data/####/multidex.version.xml
- /data/data/####/mwsdk_analytics.db-journal
- /data/data/####/mycash.html
- /data/data/####/mycashlast.html
- /data/data/####/mycashlog.html
- /data/data/####/mymessage.html
- /data/data/####/new_style.css
- /data/data/####/offline.zip
- /data/data/####/pays.do.html
- /data/data/####/persistent_data.xml
- /data/data/####/personal.html
- /data/data/####/pic_user_tx.jpg
- /data/data/####/rank1.png
- /data/data/####/rank2.png
- /data/data/####/rank3.png
- /data/data/####/readlate.html
- /data/data/####/ring.png
- /data/data/####/ring2.png
- /data/data/####/ring3.png
- /data/data/####/salt
- /data/data/####/sd_mr.png
- /data/data/####/search.html
- /data/data/####/select_class_id_file.xml
- /data/data/####/shelf.html
- /data/data/####/shou.png
- /data/data/####/shudan.html
- /data/data/####/shudanindex.html
- /data/data/####/sq_lw.png
- /data/data/####/style.css
- /data/data/####/swiper-4.2.6.min.css
- /data/data/####/swiper-4.2.6.min.js
- /data/data/####/t==8.0.0&&5.6.3_1599869289247_envelope.log
- /data/data/####/taskcenter.html
- /data/data/####/tb_top.png
- /data/data/####/tdid.xml
- /data/data/####/template.js
- /data/data/####/templatehelper.js
- /data/data/####/tixian.css
- /data/data/####/tixian.html
- /data/data/####/tixianindex.html
- /data/data/####/tixianlogs.html
- /data/data/####/tixianset.html
- /data/data/####/tjsitecount.js
- /data/data/####/tk01.png
- /data/data/####/tk_libao.png
- /data/data/####/tk_task.png
- /data/data/####/tk_task_bi.png
- /data/data/####/tk_top_bg.png
- /data/data/####/tree-2.png
- /data/data/####/tree.png
- /data/data/####/tx_box.png
- /data/data/####/tx_wx.png
- /data/data/####/tx_zfb.png
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/um_pri.xml
- /data/data/####/umdat.xml
- /data/data/####/umeng_common_config.xml
- /data/data/####/umeng_common_location.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/umeng_socialize.xml
- /data/data/####/user-zhanwei.jpg
- /data/data/####/usercenter.html
- /data/data/####/web_versions.xml
- /data/data/####/xianjin.css
- /data/data/####/xing_banner_pl.png
- /data/data/####/xing_cover_juhe.png
- /data/data/####/xing_cover_pl.png
- /data/data/####/xj_tc_jb.jpg
- /data/data/####/xjcbj.png
- /data/data/####/xjjb.png
- /data/data/####/yaoqing.css
- /data/data/####/yq-btn-jb.png
- /data/data/####/yq-btn.png
- /data/data/####/yq_ewm.jpg
- /data/data/####/yq_ldy_app_banner.png
- /data/data/####/yq_tc_close.png
- /data/data/####/zwjl01.png
- /data/data/####/zwjl02.png
- /data/media/####/-1542402434
- /data/media/####/-492408378
- /data/media/####/.a.dat
- /data/media/####/.adfwe.dat
- /data/media/####/.cca.dat
- /data/media/####/.nomedia
- /data/media/####/.umm.dat
- /data/media/####/781529093
Miscellaneous:
Executes the following shell scripts:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
- getprop
- getprop ro.build.version.emui
- getprop ro.build.version.opporom
- getprop ro.miui.ui.version.name
- getprop ro.smartisan.version
- getprop ro.vivo.os.version
- ls /
- ls /sys/class/thermal
Loads the following dynamic libraries:
- libjiagu-1939308213
Uses the following algorithms to encrypt data:
- AES
- AES-CBC-NoPadding
- AES-CBC-PKCS7Padding
Uses the following algorithms to decrypt data:
- AES
- AES-CBC-NoPadding
Accesses the ITelephony private interface.
Uses special library to hide executable bytecode.
Gets information about location.
Gets information about network.
Gets information about phone status (number, IMEI, etc.).
Gets information about installed apps.
Displays its own windows over windows of other apps.
