Android.SmsSpy.7226

Technical information

Malicious functions:

Executes code of the following detected threats:

Android.DownLoader.714.origin
Android.SmsSpy.677.origin

Gains access to the ITelephony private interface.

Network activity:

Connecting to:

UDP(DNS) <Google DNS>
TCP(HTTP/1.1) a####.u####.com:80
TCP(HTTP/1.1) q####.qi1####.com:14302
TCP(HTTP/1.1) zxc####.wann####.com:8200
TCP(HTTP/1.1) ia.z####.net:80
TCP(HTTP/1.1) dl.huih####.com:80
TCP(HTTP/1.1) q####.qi1####.com:15302
TCP(HTTP/1.1) i####.api.zhifa####.net:10001
TCP(HTTP/1.1) z####.wann####.com:9500
TCP(HTTP/1.1) hangzho####.oss-cn-####.aliy####.com:80
TCP(HTTP/1.1) wn.qiazhiw####.cn.####.net:80
TCP(HTTP/1.1) ic.o####.net:80
TCP(HTTP/1.1) qyc####.qi1####.com:8200
TCP(HTTP/1.1) i####.api.zhifa####.net:10002
TCP(HTTP/1.1) 1####.6.250.70:80
TCP(HTTP/1.1) i####.api.zhifa####.net:10201
TCP(HTTP/1.1) gdv.a.s####.com:80
TCP(HTTP/1.1) z####.wann####.com:9600

DNS requests:

131.86.31.####.arpa
142.86.31.####.arpa
146.86.31.####.arpa
147.86.31.####.arpa
15.86.31.####.arpa
188.86.31.####.arpa
a####.u####.com
b####.bj####.com
dl.huih####.com
hangzho####.oss-cn-####.aliy####.com
i####.api.zhifa####.net
i####.api.zhifa####.net
ia.in####.com
ia.xuan####.com
ia.z####.net
ic.huihui####.net
ic.o####.net
ic.yo####.com
pv.s####.com
q####.qi1####.com
qyc####.qi1####.com
re####.api.zhifa####.net
sdk.api.zhifa####.net
wn.qiazhiw####.cn
z####.wann####.com
zxc####.wann####.com

HTTP GET requests:

dl.huih####.com/iad/specialChannel/56992fc282a7d629da5502172c514206.des
gdv.a.s####.com/cityjson?ie=####
hangzho####.oss-cn-####.aliy####.com/qiyi/client/sdk/so/libzxvps.so
qyc####.qi1####.com:8200/sdk/file?G7Bx2pP####
qyc####.qi1####.com:8200/sdk/file?PS3fhHp####
qyc####.qi1####.com:8200/sdk/file?SsfYBtY####
qyc####.qi1####.com:8200/sdk/file?fQlueoO####
wn.qiazhiw####.cn.####.net/update/up01036465_66

HTTP HEAD requests:

dl.huih####.com/iad/specialChannel/56992fc282a7d629da5502172c514206.des

HTTP POST requests:

a####.u####.com/app_logs
i####.api.zhifa####.net:10001/v2/adconfig/get?app_id=####&t=####
i####.api.zhifa####.net:10001/v2/bag/monitor?app_id=####&t=####
i####.api.zhifa####.net:10001/v2/sdk/init?app_id=####&t=####
i####.api.zhifa####.net:10001/v2/update/check?app_id=####&t=####
i####.api.zhifa####.net:10002/v2/callback/message?app_id=####&t=####
i####.api.zhifa####.net:10201/v2/sdk/report?app_id=####&t=####
ia.z####.net/ps/actionLog.do
ia.z####.net/ps/active.do
ia.z####.net/ps/adLimitControl.do
ia.z####.net/ps/appShare.do
ia.z####.net/ps/dataPullShile.do
ia.z####.net/ps/errorLog.do
ia.z####.net/ps/getAppType.do
ia.z####.net/ps/getConfig.do
ia.z####.net/ps/getDspConfig.do
ia.z####.net/ps/getNAD.do
ia.z####.net/ps/getSpecialChannel.do
ia.z####.net/ps/newUserApp.do
ia.z####.net/ps/platformStat.do
ia.z####.net/ps/platformStatConfirm.do
ia.z####.net/ps/updatesdk.do
ia.z####.net/ps/userAppInfo.do
ia.z####.net/ps/userFloatPermiss.do
ia.z####.net/ps/userMobileInfo.do
ia.z####.net/ps/userSdkInfo.do
ic.o####.net/domain/domainConfig.do
q####.qi1####.com:14302/sdk_login?t=####
q####.qi1####.com:15302/sdk_login?t=####
z####.wann####.com:9500/
z####.wann####.com:9600/
zxc####.wann####.com:8200/qy/acceptSdkFileReq
zxc####.wann####.com:8200/qy/getOnlineLoginHttpReq

Modified file system:

Creates the following files:

/data/data/####/.3e4f3a731207e6593f6e68f06afd1a5a
/data/data/####/.be005315bc4432144bf372d847d967d2
/data/data/####/.imprint
/data/data/####/.jg.ic
/data/data/####/10716
/data/data/####/11
/data/data/####/13133
/data/data/####/14
/data/data/####/14971
/data/data/####/14972
/data/data/####/15
/data/data/####/1536312650180
/data/data/####/1536312654924
/data/data/####/1536312663254
/data/data/####/1536312663307
/data/data/####/1536312663309
/data/data/####/1536312663326
/data/data/####/1536312663363
/data/data/####/1536312663425
/data/data/####/1536312663427
/data/data/####/1536312663439
/data/data/####/1536312663480
/data/data/####/1536312663527
/data/data/####/1536312663533
/data/data/####/1536312663571
/data/data/####/1536312663657
/data/data/####/1536312663658
/data/data/####/1536312663658 (deleted)
/data/data/####/1536312663684
/data/data/####/1536312663798
/data/data/####/1536312663865
/data/data/####/1536312663866
/data/data/####/1536312663890
/data/data/####/1536312663931
/data/data/####/1536312663984
/data/data/####/1536312663986
/data/data/####/1536312664005
/data/data/####/1536312664061
/data/data/####/1536312664131
/data/data/####/1536312664132
/data/data/####/1536312664156
/data/data/####/1536312664193
/data/data/####/1536312664222
/data/data/####/1536312664225
/data/data/####/1536312664248
/data/data/####/1536312664307
/data/data/####/1536312664374
/data/data/####/1536312664418
/data/data/####/1536312664461
/data/data/####/1536312664463
/data/data/####/1536312664482
/data/data/####/1536312664522
/data/data/####/1536312664523
/data/data/####/1536312664535
/data/data/####/1536312664563
/data/data/####/1536312664564
/data/data/####/1536312664589
/data/data/####/1536312664636
/data/data/####/1536312664637
/data/data/####/1536312664650
/data/data/####/1536312664690
/data/data/####/1536312664692
/data/data/####/1536312664714
/data/data/####/1536312664744
/data/data/####/1536312664746
/data/data/####/1536312664759
/data/data/####/1536312664831
/data/data/####/1536312664895
/data/data/####/1536312664897
/data/data/####/1536312664915
/data/data/####/1536312664965
/data/data/####/1536312665010
/data/data/####/1536312665073
/data/data/####/1536312665075
/data/data/####/1536312665108
/data/data/####/1536312665168
/data/data/####/1536312665225
/data/data/####/1536312665226
/data/data/####/1536312665263
/data/data/####/1536312665381
/data/data/####/1536312665420
/data/data/####/1536312665423
/data/data/####/1536312665425
/data/data/####/1536312665427
/data/data/####/1536312665575
/data/data/####/1536312665577
/data/data/####/1536312665609
/data/data/####/1536312665670
/data/data/####/1536312665715
/data/data/####/1536312665717
/data/data/####/1536312665729
/data/data/####/1536312665789
/data/data/####/1536312665851
/data/data/####/1536312665945
/data/data/####/1536312666092
/data/data/####/1536312666194
/data/data/####/1536312666269
/data/data/####/1536312666301
/data/data/####/1536312666303
/data/data/####/1536312666366
/data/data/####/1536312666367
/data/data/####/1536312666369
/data/data/####/1536312666370
/data/data/####/1536312666371
/data/data/####/1536312666373
/data/data/####/1536312666374
/data/data/####/1536312666386
/data/data/####/1536312666434
/data/data/####/1536312666436
/data/data/####/1536312666465
/data/data/####/1536312666508
/data/data/####/1536312666509
/data/data/####/1536312666519
/data/data/####/1536312666547
/data/data/####/1536312666548
/data/data/####/1536312666570
/data/data/####/1536312666604
/data/data/####/1536312666606
/data/data/####/1536312666618
/data/data/####/1536312666662
/data/data/####/1536312666674
/data/data/####/1536312666686
/data/data/####/1536312666724
/data/data/####/1536312666764
/data/data/####/1536312666765
/data/data/####/1536312666765 (deleted)
/data/data/####/1536312666776
/data/data/####/1536312666812
/data/data/####/1536312666813
/data/data/####/1536312666824
/data/data/####/1536312666875
/data/data/####/1536312666978
/data/data/####/1536312666983
/data/data/####/1536312667008
/data/data/####/1536312667069
/data/data/####/1536312667111
/data/data/####/1536312667117
/data/data/####/1536312667140
/data/data/####/1536312667225
/data/data/####/1536312667301
/data/data/####/1536312667302
/data/data/####/1536312667304
/data/data/####/1536312667534
/data/data/####/1536312667583
/data/data/####/1536312667669
/data/data/####/1536312667809
/data/data/####/1536312667986
/data/data/####/1536312668008
/data/data/####/1536312668064
/data/data/####/1536312672627
/data/data/####/1536312678709
/data/data/####/1536312678762
/data/data/####/1536312678764
/data/data/####/1536312678775
/data/data/####/1536312678815
/data/data/####/1536312678863
/data/data/####/1536312678864
/data/data/####/1536312678886
/data/data/####/1536312678948
/data/data/####/1536312679026
/data/data/####/1536312679027
/data/data/####/1536312679061
/data/data/####/1536312679133
/data/data/####/1536312679199
/data/data/####/1536312679263
/data/data/####/1536312679361
/data/data/####/1536312679362
/data/data/####/1536312679390
/data/data/####/1536312679479
/data/data/####/1536312679480
/data/data/####/1536312679497
/data/data/####/1536312679545
/data/data/####/1536312679546
/data/data/####/1536312679561
/data/data/####/1536312679598
/data/data/####/1536312679678
/data/data/####/1536312679680
/data/data/####/1536312679693
/data/data/####/1536312679722
/data/data/####/1536312679723
/data/data/####/1536312679742
/data/data/####/1536312679771
/data/data/####/1536312679838
/data/data/####/1536312679852
/data/data/####/1536312679868
/data/data/####/1536312679900
/data/data/####/1536312679902
/data/data/####/1536312679915
/data/data/####/1536312679955
/data/data/####/1536312679957
/data/data/####/1536312679962
/data/data/####/1536312680045
/data/data/####/1536312680121
/data/data/####/1536312680123
/data/data/####/1536312680141
/data/data/####/1536312680186
/data/data/####/1536312680232
/data/data/####/1536312680234
/data/data/####/1536312680254
/data/data/####/1536312680291
/data/data/####/1536312680333
/data/data/####/1536312680334
/data/data/####/1536312680357
/data/data/####/1536312680406
/data/data/####/1536312680408
/data/data/####/1536312680427
/data/data/####/1536312680487
/data/data/####/1536312680533
/data/data/####/1536312680535
/data/data/####/1536312680560
/data/data/####/1536312680594
/data/data/####/1536312680595
/data/data/####/1536312680607
/data/data/####/1536312680662
/data/data/####/1536312680715
/data/data/####/1536312680716
/data/data/####/1536312680736
/data/data/####/1536312680772
/data/data/####/1536312680842
/data/data/####/1536312680848
/data/data/####/1536312680859
/data/data/####/1536312680896
/data/data/####/1536312680897
/data/data/####/1536312680910
/data/data/####/1536312680960
/data/data/####/1536312680961
/data/data/####/1536312680976
/data/data/####/1536312681015
/data/data/####/1536312681017
/data/data/####/1536312681029
/data/data/####/1536312681072
/data/data/####/1536312681073
/data/data/####/1536312681086
/data/data/####/1536312681125
/data/data/####/1536312681126
/data/data/####/1536312681138
/data/data/####/1536312681184
/data/data/####/1536312681185
/data/data/####/1536312681197
/data/data/####/1536312681250
/data/data/####/1536312681252
/data/data/####/1536312681266
/data/data/####/1536312681307
/data/data/####/1536312681374
/data/data/####/1536312681423
/data/data/####/1536312681425
/data/data/####/1536312681452
/data/data/####/1536312681510
/data/data/####/1536312681512
/data/data/####/1536312681529
/data/data/####/1536312681585
/data/data/####/1536312681586
/data/data/####/1536312681600
/data/data/####/1536312681634
/data/data/####/1536312681636
/data/data/####/1536312681659
/data/data/####/1536312681694
/data/data/####/1536312681695
/data/data/####/1536312681709
/data/data/####/1536312681784
/data/data/####/1536312681837
/data/data/####/1536312681885
/data/data/####/1536312681886
/data/data/####/1536312681898
/data/data/####/1536312681991
/data/data/####/1536312682087
/data/data/####/1536312682189
/data/data/####/1536312682217
/data/data/####/1536312682242
/data/data/####/1536312682323
/data/data/####/1536312682384
/data/data/####/1536312682412
/data/data/####/1536312682413
/data/data/####/1536312682425
/data/data/####/1536312682522
/data/data/####/1536312682563
/data/data/####/1536312682602
/data/data/####/1536312682603
/data/data/####/1536312682621
/data/data/####/1536312682685
/data/data/####/1536312682712
/data/data/####/1536312682713
/data/data/####/1536312682724
/data/data/####/1536312682780
/data/data/####/1536312682822
/data/data/####/1536312682833
/data/data/####/1536312682843
/data/data/####/1536312682901
/data/data/####/1536312682938
/data/data/####/1536312682943
/data/data/####/1536312682949
/data/data/####/1536312683019
/data/data/####/1536312683073
/data/data/####/1536312683118
/data/data/####/1536312683120
/data/data/####/1536312683135
/data/data/####/1536312683200
/data/data/####/1536312683236
/data/data/####/1536312683240
/data/data/####/1536312683256
/data/data/####/1536312683361
/data/data/####/1536312683363
/data/data/####/1536312683395
/data/data/####/1536312683515
/data/data/####/1536312683528
/data/data/####/1536312683570
/data/data/####/1536312683646
/data/data/####/1536312683648
/data/data/####/1536312683663
/data/data/####/1536312683715
/data/data/####/1536312683716
/data/data/####/1536312683733
/data/data/####/1536312683772
/data/data/####/1536312683773
/data/data/####/1536312683785
/data/data/####/1536312683826
/data/data/####/1536312683827
/data/data/####/1536312683842
/data/data/####/1536312683897
/data/data/####/1536312683904
/data/data/####/1536312683923
/data/data/####/1536312683958
/data/data/####/1536312684046
/data/data/####/1536312684048
/data/data/####/1536312684060
/data/data/####/1536312684107
/data/data/####/1536312684109
/data/data/####/1536312684131
/data/data/####/1536312684163
/data/data/####/1536312684164
/data/data/####/1536312684176
/data/data/####/1536312684226
/data/data/####/1536312684279
/data/data/####/1536312684281
/data/data/####/1536312684297
/data/data/####/1536312684406
/data/data/####/1536312684502
/data/data/####/1536312684503
/data/data/####/1536312684523
/data/data/####/1536312684595
/data/data/####/1536312684634
/data/data/####/1536312684636
/data/data/####/1536312684654
/data/data/####/1536312684708
/data/data/####/1536312684754
/data/data/####/1536312684755
/data/data/####/1536312684766
/data/data/####/1536312684837
/data/data/####/1536312684880
/data/data/####/1536312684886
/data/data/####/1536312684899
/data/data/####/1536312684952
/data/data/####/1536312685026
/data/data/####/1536312685030
/data/data/####/1536312685042
/data/data/####/1536312685086
/data/data/####/1536312685155
/data/data/####/1536312685158
/data/data/####/1536312685179
/data/data/####/1536312685239
/data/data/####/1536312685271
/data/data/####/1536312685272
/data/data/####/1536312685279
/data/data/####/1536312685340
/data/data/####/1536312685387
/data/data/####/1536312685389
/data/data/####/1536312685400
/data/data/####/1536312685439
/data/data/####/1536312685501
/data/data/####/1536312685531
/data/data/####/1536312685542
/data/data/####/1536312685558
/data/data/####/1536312685592
/data/data/####/1536312685593
/data/data/####/1536312685604
/data/data/####/1536312685652
/data/data/####/1536312685653
/data/data/####/1536312685664
/data/data/####/1536312685679
/data/data/####/1536312685681
/data/data/####/1536312685771
/data/data/####/1536312685824
/data/data/####/1536312685831
/data/data/####/1536312685849
/data/data/####/1536312685916
/data/data/####/1536312685973
/data/data/####/1536312685975
/data/data/####/1536312686011
/data/data/####/1536312686042
/data/data/####/1536312686043
/data/data/####/1536312686055
/data/data/####/1536312686099
/data/data/####/1536312686142
/data/data/####/1536312686143
/data/data/####/1536312686148
/data/data/####/1536312686200
/data/data/####/1536312686243
/data/data/####/1536312686245
/data/data/####/1536312686258
/data/data/####/1536312686309
/data/data/####/1536312686354
/data/data/####/1536312686356
/data/data/####/1536312686367
/data/data/####/1536312686414
/data/data/####/1536312686424
/data/data/####/1536312686441
/data/data/####/1536312686491
/data/data/####/1536312686575
/data/data/####/1536312686617
/data/data/####/1536312686709
/data/data/####/1536312686760
/data/data/####/1536312686817
/data/data/####/1536312686891
/data/data/####/1536312686949
/data/data/####/1536312686995
/data/data/####/1536312687120
/data/data/####/1536312687227
/data/data/####/1536312687365
/data/data/####/1536312687409
/data/data/####/1536312687476
/data/data/####/1536312687523
/data/data/####/1536312687612
/data/data/####/1536312687650
/data/data/####/1536312687738
/data/data/####/1536312687791
/data/data/####/1536312687879
/data/data/####/1536312687960
/data/data/####/1536312688083
/data/data/####/1536312688142
/data/data/####/1536312688190
/data/data/####/1536312688253
/data/data/####/1536312688366
/data/data/####/1536312688411
/data/data/####/1536312688509
/data/data/####/1536312688575
/data/data/####/1536312688624
/data/data/####/1536312688669
/data/data/####/1536312688674
/data/data/####/1536312688693
/data/data/####/1536312688729
/data/data/####/1536312688730
/data/data/####/1536312688752
/data/data/####/1536312688829
/data/data/####/1536312688832
/data/data/####/1536312688859
/data/data/####/1536312688928
/data/data/####/1536312688932
/data/data/####/1536312688950
/data/data/####/1536312689007
/data/data/####/1536312689009
/data/data/####/1536312689043
/data/data/####/1536312689146
/data/data/####/1536312689148
/data/data/####/1536312689160
/data/data/####/1536312689221
/data/data/####/1536312689263
/data/data/####/1536312689264
/data/data/####/1536312689286
/data/data/####/1536312689321
/data/data/####/1536312689392
/data/data/####/1536312689394
/data/data/####/1536312689406
/data/data/####/1536312689438
/data/data/####/1536312689567
/data/data/####/1536312689569
/data/data/####/1536312689581
/data/data/####/1536312689652
/data/data/####/1536312689656
/data/data/####/1536312689669
/data/data/####/1536312689703
/data/data/####/1536312689705
/data/data/####/1536312689721
/data/data/####/1536312689767
/data/data/####/1536312689769
/data/data/####/1536312689781
/data/data/####/1536312689831
/data/data/####/1536312689832
/data/data/####/1536312689923
/data/data/####/1536312690055
/data/data/####/1536312690059
/data/data/####/1536312690112
/data/data/####/1536312690172
/data/data/####/1536312690262
/data/data/####/1536312690263
/data/data/####/1536312690292
/data/data/####/1536312690387
/data/data/####/1536312690389
/data/data/####/1536312690408
/data/data/####/1536312690482
/data/data/####/1536312690562
/data/data/####/1536312690649
/data/data/####/1536312690655
/data/data/####/1536312690673
/data/data/####/1536312690715
/data/data/####/1536312690723
/data/data/####/1536312690735
/data/data/####/1536312690767
/data/data/####/1536312690769
/data/data/####/1536312690783
/data/data/####/1536312690846
/data/data/####/1536312690849
/data/data/####/1536312690861
/data/data/####/1536312690906
/data/data/####/1536312690908
/data/data/####/1536312690930
/data/data/####/1536312690965
/data/data/####/1536312690967
/data/data/####/1536312690980
/data/data/####/1536312691051
/data/data/####/1536312691088
/data/data/####/1536312691090
/data/data/####/1536312691116
/data/data/####/1536312691204
/data/data/####/1536312691246
/data/data/####/1536312691259
/data/data/####/1536312691271
/data/data/####/1536312691312
/data/data/####/1536312691313
/data/data/####/1536312691330
/data/data/####/1536312691395
/data/data/####/1536312691466
/data/data/####/1536312691480
/data/data/####/1536312691491
/data/data/####/1536312691522
/data/data/####/1536312691524
/data/data/####/1536312691535
/data/data/####/1536312691584
/data/data/####/1536312691631
/data/data/####/1536312691632
/data/data/####/1536312691654
/data/data/####/1536312691704
/data/data/####/1536312691751
/data/data/####/1536312691757
/data/data/####/1536312691769
/data/data/####/1536312691820
/data/data/####/1536312691865
/data/data/####/1536312691867
/data/data/####/1536312691879
/data/data/####/1536312691914
/data/data/####/1536312691915
/data/data/####/1536312691927
/data/data/####/1536312692009
/data/data/####/1536312692064
/data/data/####/1536312692189
/data/data/####/1536312692320
/data/data/####/1536312692386
/data/data/####/1536312692496
/data/data/####/1536312692564
/data/data/####/1536312692602
/data/data/####/1536312692667
/data/data/####/1536312692714
/data/data/####/1536312692784
/data/data/####/1536312692819
/data/data/####/1536312692882
/data/data/####/1536312692942
/data/data/####/1536312692997
/data/data/####/1536312693058
/data/data/####/1536312693135
/data/data/####/1536312693193
/data/data/####/1536312693195
/data/data/####/1536312693211
/data/data/####/1536312693318
/data/data/####/1536312693321
/data/data/####/1536312693343
/data/data/####/1536312693393
/data/data/####/1536312693395
/data/data/####/1536312693427
/data/data/####/1536312693578
/data/data/####/1536312693597
/data/data/####/1536312693615
/data/data/####/1536312693686
/data/data/####/1536312693689
/data/data/####/1536312693704
/data/data/####/1536312693760
/data/data/####/1536312693823
/data/data/####/1536312693878
/data/data/####/1536312693883
/data/data/####/1536312693895
/data/data/####/1536312693950
/data/data/####/1536312694019
/data/data/####/1536312694082
/data/data/####/1536312694163
/data/data/####/1536312694253
/data/data/####/1536312694331
/data/data/####/1536312694397
/data/data/####/1536312694487
/data/data/####/1536312694578
/data/data/####/1536312694622
/data/data/####/1536312694623
/data/data/####/1536312694635
/data/data/####/1536312694677
/data/data/####/1536312694738
/data/data/####/1536312694794
/data/data/####/1536312694837
/data/data/####/1536312694903
/data/data/####/1536312694967
/data/data/####/1536312695018
/data/data/####/1536312695099
/data/data/####/1536312695159
/data/data/####/1536312695218
/data/data/####/1536312695219
/data/data/####/1536312695232
/data/data/####/1536312695279
/data/data/####/1536312695281
/data/data/####/1536312695303
/data/data/####/1536312695333
/data/data/####/1536312695335
/data/data/####/1536312695355
/data/data/####/1536312695392
/data/data/####/1536312695395
/data/data/####/1536312695408
/data/data/####/1536312695456
/data/data/####/1536312695458
/data/data/####/1536312695470
/data/data/####/1536312695521
/data/data/####/1536312695563
/data/data/####/1536312695565
/data/data/####/1536312695577
/data/data/####/1536312695629
/data/data/####/1536312695630
/data/data/####/1536312695642
/data/data/####/1536312695675
/data/data/####/1536312695685
/data/data/####/1536312695699
/data/data/####/1536312695738
/data/data/####/1536312695810
/data/data/####/1536312695812
/data/data/####/1536312695829
/data/data/####/1536312695878
/data/data/####/1536312695933
/data/data/####/1536312695935
/data/data/####/1536312695946
/data/data/####/1536312696026
/data/data/####/1536312696102
/data/data/####/1536312696108
/data/data/####/1536312696127
/data/data/####/1536312696200
/data/data/####/1536312696283
/data/data/####/1536312696285
/data/data/####/1536312696325
/data/data/####/1536312696360
/data/data/####/1536312696460
/data/data/####/1536312696552
/data/data/####/1536312696622
/data/data/####/1536312696673
/data/data/####/16
/data/data/####/16698
/data/data/####/16699
/data/data/####/16700
/data/data/####/16701
/data/data/####/16797
/data/data/####/16798
/data/data/####/16799
/data/data/####/16800
/data/data/####/16801
/data/data/####/16802
/data/data/####/16803
/data/data/####/16804
/data/data/####/16805
/data/data/####/16806
/data/data/####/16807
/data/data/####/16808
/data/data/####/16809
/data/data/####/16810
/data/data/####/16811
/data/data/####/16812
/data/data/####/16813
/data/data/####/16814
/data/data/####/16815
/data/data/####/16816
/data/data/####/16817
/data/data/####/16818
/data/data/####/16819
/data/data/####/16820
/data/data/####/16821
/data/data/####/16822
/data/data/####/16823
/data/data/####/16824
/data/data/####/16825
/data/data/####/16826
/data/data/####/17420
/data/data/####/17421
/data/data/####/17422
/data/data/####/17423
/data/data/####/17424
/data/data/####/17425
/data/data/####/17426
/data/data/####/17427
/data/data/####/17428
/data/data/####/17429
/data/data/####/17430
/data/data/####/17431
/data/data/####/17432
/data/data/####/17433
/data/data/####/17434
/data/data/####/17435
/data/data/####/17436
/data/data/####/17437
/data/data/####/17438
/data/data/####/17444
/data/data/####/17445
/data/data/####/17446
/data/data/####/17447
/data/data/####/17448
/data/data/####/17449
/data/data/####/17450
/data/data/####/17451
/data/data/####/17452
/data/data/####/17453
/data/data/####/17454
/data/data/####/17455
/data/data/####/17456
/data/data/####/17457
/data/data/####/17458
/data/data/####/17459
/data/data/####/17460
/data/data/####/17461
/data/data/####/17462
/data/data/####/17463
/data/data/####/17464
/data/data/####/17465
/data/data/####/17466
/data/data/####/17467
/data/data/####/18112
/data/data/####/18126
/data/data/####/18147
/data/data/####/18172
/data/data/####/18173
/data/data/####/18174
/data/data/####/18175
/data/data/####/18176
/data/data/####/18177
/data/data/####/18178
/data/data/####/18179
/data/data/####/18180
/data/data/####/18181
/data/data/####/18182
/data/data/####/18183
/data/data/####/18184
/data/data/####/18185
/data/data/####/18186
/data/data/####/18187
/data/data/####/18188
/data/data/####/18189
/data/data/####/18191
/data/data/####/18280
/data/data/####/18281
/data/data/####/18282
/data/data/####/18283
/data/data/####/18284
/data/data/####/18285
/data/data/####/18286
/data/data/####/18287
/data/data/####/18288
/data/data/####/18289
/data/data/####/18290
/data/data/####/18291
/data/data/####/18292
/data/data/####/18293
/data/data/####/18294
/data/data/####/18295
/data/data/####/18296
/data/data/####/18297
/data/data/####/18334
/data/data/####/18352
/data/data/####/18358
/data/data/####/18359
/data/data/####/18360
/data/data/####/18361
/data/data/####/18362
/data/data/####/18363
/data/data/####/18364
/data/data/####/18365
/data/data/####/18366
/data/data/####/18367
/data/data/####/18368
/data/data/####/18369
/data/data/####/18370
/data/data/####/18371
/data/data/####/18372
/data/data/####/18373
/data/data/####/18374
/data/data/####/18375
/data/data/####/18376
/data/data/####/18377
/data/data/####/18378
/data/data/####/18379
/data/data/####/18380
/data/data/####/18381
/data/data/####/18382
/data/data/####/18383
/data/data/####/18384
/data/data/####/18385
/data/data/####/18386
/data/data/####/18387
/data/data/####/18388
/data/data/####/18389
/data/data/####/18390
/data/data/####/18391
/data/data/####/18392
/data/data/####/18393
/data/data/####/18394
/data/data/####/18395
/data/data/####/18396
/data/data/####/18397
/data/data/####/18398
/data/data/####/18399
/data/data/####/18400
/data/data/####/18401
/data/data/####/18430
/data/data/####/18431
/data/data/####/18432
/data/data/####/18433
/data/data/####/18434
/data/data/####/18435
/data/data/####/18436
/data/data/####/18437
/data/data/####/18438
/data/data/####/18439
/data/data/####/18440
/data/data/####/18441
/data/data/####/18442
/data/data/####/18443
/data/data/####/18444
/data/data/####/18445
/data/data/####/18446
/data/data/####/18447
/data/data/####/18448
/data/data/####/18449
/data/data/####/18450
/data/data/####/18451
/data/data/####/18452
/data/data/####/18453
/data/data/####/18454
/data/data/####/18455
/data/data/####/18456
/data/data/####/18457
/data/data/####/18458
/data/data/####/18459
/data/data/####/18645
/data/data/####/18646
/data/data/####/18647
/data/data/####/18648
/data/data/####/18649
/data/data/####/18650
/data/data/####/18651
/data/data/####/18652
/data/data/####/18653
/data/data/####/18654
/data/data/####/18655
/data/data/####/18656
/data/data/####/18657
/data/data/####/18658
/data/data/####/18659
/data/data/####/18660
/data/data/####/18661
/data/data/####/18662
/data/data/####/18663
/data/data/####/18664
/data/data/####/2
/data/data/####/20180907
/data/data/####/21
/data/data/####/22
/data/data/####/25
/data/data/####/26
/data/data/####/27
/data/data/####/28
/data/data/####/3e4f3a731207e6593f6e68f06afd1a5a.tmp
/data/data/####/4
/data/data/####/4047
/data/data/####/4048
/data/data/####/4049
/data/data/####/4050
/data/data/####/4051
/data/data/####/4052
/data/data/####/4053
/data/data/####/4054
/data/data/####/4055
/data/data/####/4056
/data/data/####/4057
/data/data/####/4058
/data/data/####/4070
/data/data/####/4a511735804bd3b00b12addfbebe0383
/data/data/####/5
/data/data/####/500
/data/data/####/56992fc282a7d629da5502172c514206.dex
/data/data/####/56992fc282a7d629da5502172c514206.tmp
/data/data/####/6
/data/data/####/6063
/data/data/####/6064
/data/data/####/6065
/data/data/####/6066
/data/data/####/6067
/data/data/####/6068
/data/data/####/6326
/data/data/####/6327
/data/data/####/6328
/data/data/####/6329
/data/data/####/6330
/data/data/####/6340
/data/data/####/6341
/data/data/####/6342
/data/data/####/6343
/data/data/####/6344
/data/data/####/6345
/data/data/####/6346
/data/data/####/6347
/data/data/####/6348
/data/data/####/6349
/data/data/####/6390
/data/data/####/6391
/data/data/####/6392
/data/data/####/6393
/data/data/####/6394
/data/data/####/6395
/data/data/####/6398
/data/data/####/6399
/data/data/####/6608
/data/data/####/6609
/data/data/####/6610
/data/data/####/7
/data/data/####/7877
/data/data/####/7879
/data/data/####/7897
/data/data/####/8
/data/data/####/9510
/data/data/####/9511
/data/data/####/9512
/data/data/####/9513
/data/data/####/9514
/data/data/####/9515
/data/data/####/9516
/data/data/####/9517
/data/data/####/9518
/data/data/####/9519
/data/data/####/9557
/data/data/####/9558
/data/data/####/9559
/data/data/####/9560
/data/data/####/9561
/data/data/####/9562
/data/data/####/9563
/data/data/####/9564
/data/data/####/9565
/data/data/####/9567
/data/data/####/9568
/data/data/####/9569
/data/data/####/9570
/data/data/####/9571
/data/data/####/9768
/data/data/####/9769
/data/data/####/9770
/data/data/####/9771
/data/data/####/9772
/data/data/####/9773
/data/data/####/9774
/data/data/####/9775
/data/data/####/9776
/data/data/####/9777
/data/data/####/9778
/data/data/####/9779
/data/data/####/9780
/data/data/####/9781
/data/data/####/9782
/data/data/####/9783
/data/data/####/9784
/data/data/####/9785
/data/data/####/9786
/data/data/####/9787
/data/data/####/9788
/data/data/####/9789
/data/data/####/9790
/data/data/####/9791
/data/data/####/9792
/data/data/####/9804
/data/data/####/9805
/data/data/####/Alvin2.xml
/data/data/####/ContextData.xml
/data/data/####/Framework.db
/data/data/####/Framework.db-journal
/data/data/####/PlatformCore.db
/data/data/####/PlatformCore.db-journal
/data/data/####/SP_REPLACE_CLASSLOADER_CLASS_NAME.xml
/data/data/####/action_stats.dat
/data/data/####/action_time.dat
/data/data/####/active_init.dat
/data/data/####/appType.db
/data/data/####/app_bid
/data/data/####/app_caller
/data/data/####/app_history.dat
/data/data/####/app_init.dat
/data/data/####/app_mid
/data/data/####/app_type_info.dat
/data/data/####/app_type_task.dat
/data/data/####/baidu
/data/data/####/be005315bc4432144bf372d847d967d2.tmp
/data/data/####/black.png
/data/data/####/box0.png
/data/data/####/box1.png
/data/data/####/box10.png
/data/data/####/box11.png
/data/data/####/box12.png
/data/data/####/box13.png
/data/data/####/box14.png
/data/data/####/box15.png
/data/data/####/box16.png
/data/data/####/box17.png
/data/data/####/box18.png
/data/data/####/box19.png
/data/data/####/box2.png
/data/data/####/box20.png
/data/data/####/box21.png
/data/data/####/box22.png
/data/data/####/box23.png
/data/data/####/box24.png
/data/data/####/box25.png
/data/data/####/box26.png
/data/data/####/box27.png
/data/data/####/box28.png
/data/data/####/box29.png
/data/data/####/box3.png
/data/data/####/box30.png
/data/data/####/box31.png
/data/data/####/box32.png
/data/data/####/box33.png
/data/data/####/box34.png
/data/data/####/box4.png
/data/data/####/box5.png
/data/data/####/box6.png
/data/data/####/box7.png
/data/data/####/box8.png
/data/data/####/box9.png
/data/data/####/by0.png
/data/data/####/by1.png
/data/data/####/by10.png
/data/data/####/by11.png
/data/data/####/by12.png
/data/data/####/by2.png
/data/data/####/by3.png
/data/data/####/by4.png
/data/data/####/by5.png
/data/data/####/by6.png
/data/data/####/by7.png
/data/data/####/by8.png
/data/data/####/by9.png
/data/data/####/c131a4b8ce5808bff178df40bc5f985a.dex
/data/data/####/c131a4b8ce5808bff178df40bc5f985a.jar
/data/data/####/cc.db
/data/data/####/cc.db-journal
/data/data/####/check_info
/data/data/####/com.tyt.tianyi
/data/data/####/common
/data/data/####/config50301.xml
/data/data/####/config_active.dat
/data/data/####/config_ad.dat
/data/data/####/config_black.dat
/data/data/####/config_channel.dat
/data/data/####/config_dsp.dat
/data/data/####/config_js.dat
/data/data/####/config_notify.dat
/data/data/####/config_ultBlack.dat
/data/data/####/device_ip.dat
/data/data/####/download_info
/data/data/####/downloadapk.db
/data/data/####/downloadapk.db-journal
/data/data/####/dsp_sdk.db
/data/data/####/dsp_sdk.db-journal
/data/data/####/exchangeIdentity.json
/data/data/####/exid.dat
/data/data/####/fen.png
/data/data/####/float_info.dat
/data/data/####/getprop
/data/data/####/juese.png
/data/data/####/jx_im.png
/data/data/####/libjiagu-1141518524.so
/data/data/####/libzxvps.so
/data/data/####/load_info
/data/data/####/menu_an.png
/data/data/####/menu_ph.png
/data/data/####/menu_top.png
/data/data/####/mid_yy.mp3
/data/data/####/mobile_init.dat
/data/data/####/mutex.dat
/data/data/####/new_md.dex
/data/data/####/new_md.jar
/data/data/####/over_an0.png
/data/data/####/over_an1.png
/data/data/####/over_jm.png
/data/data/####/over_tc.png
/data/data/####/over_zi0.png
/data/data/####/ph_back.png
/data/data/####/ph_di0.png
/data/data/####/ph_di1.png
/data/data/####/ph_jm.png
/data/data/####/ph_kuang.png
/data/data/####/pid
/data/data/####/qihoo_jiagu_crash_report.xml
/data/data/####/qy_db_pay
/data/data/####/qy_db_pay-journal
/data/data/####/sdk.xml
/data/data/####/sdk_init.dat
/data/data/####/sdk_version.dat
/data/data/####/service_info.dat
/data/data/####/shield_init.dat
/data/data/####/shu.png
/data/data/####/shu2.png
/data/data/####/shu3.png
/data/data/####/shu4.png
/data/data/####/shu5.png
/data/data/####/sod_chaoshi.mp3
/data/data/####/sod_obegin.mp3
/data/data/####/sod_over.mp3
/data/data/####/sod_ozhongxin.mp3
/data/data/####/sod_xiashui.mp3
/data/data/####/sod_xl.mp3
/data/data/####/tmp_so
/data/data/####/tou_0.png
/data/data/####/tou_1.png
/data/data/####/tou_10.png
/data/data/####/tou_11.png
/data/data/####/tou_12.png
/data/data/####/tou_13.png
/data/data/####/tou_14.png
/data/data/####/tou_15.png
/data/data/####/tou_16.png
/data/data/####/tou_17.png
/data/data/####/tou_18.png
/data/data/####/tou_19.png
/data/data/####/tou_2.png
/data/data/####/tou_20.png
/data/data/####/tou_21.png
/data/data/####/tou_22.png
/data/data/####/tou_23.png
/data/data/####/tou_24.png
/data/data/####/tou_25.png
/data/data/####/tou_26.png
/data/data/####/tou_27.png
/data/data/####/tou_28.png
/data/data/####/tou_29.png
/data/data/####/tou_3.png
/data/data/####/tou_30.png
/data/data/####/tou_31.png
/data/data/####/tou_32.png
/data/data/####/tou_33.png
/data/data/####/tou_34.png
/data/data/####/tou_35.png
/data/data/####/tou_36.png
/data/data/####/tou_37.png
/data/data/####/tou_38.png
/data/data/####/tou_39.png
/data/data/####/tou_4.png
/data/data/####/tou_40.png
/data/data/####/tou_41.png
/data/data/####/tou_42.png
/data/data/####/tou_43.png
/data/data/####/tou_44.png
/data/data/####/tou_45.png
/data/data/####/tou_46.png
/data/data/####/tou_47.png
/data/data/####/tou_48.png
/data/data/####/tou_49.png
/data/data/####/tou_5.png
/data/data/####/tou_6.png
/data/data/####/tou_7.png
/data/data/####/tou_8.png
/data/data/####/tou_9.png
/data/data/####/tx_dian.png
/data/data/####/tx_jia.png
/data/data/####/tx_quan.png
/data/data/####/ua.db
/data/data/####/ua.db-journal
/data/data/####/umeng_general_config.xml
/data/data/####/umeng_general_config.xml.bak
/data/data/####/umeng_it.cache
/data/data/####/unknown.xml
/data/data/####/up01036465_66
/data/data/####/up01036465_66.dex
/data/data/####/up01036465_66.jar
/data/data/####/update_script.dat
/data/data/####/uuid.dat
/data/data/####/webview.db
/data/data/####/webview.db-journal
/data/data/####/ying.png
/data/data/####/zz_dsp.xml
/data/media/####/.cfg
/data/media/####/613a04b866fcb6cad32bb92869772622
/data/media/####/Alvin2.xml
/data/media/####/ContextData.xml
/data/media/####/app_mutex.lock
/data/media/####/config.dat
/data/media/####/device
/data/media/####/setting.dat
/data/media/####/system.dat
/data/media/####/system_meta.config
/data/media/####/uuid.dat

Miscellaneous:

Executes next shell scripts:

app_process /system/bin com.android.commands.am.Am startservice --user 0 -n <Package>/com.google.android.gms.analytics.CampaignTrackingService
cat /proc/meminfo
cat /sys/block/mmcblk0/device/cid
cat /sys/class/net/wlan0/address
cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
chmod 755 <Package Folder>/.jiagu/libjiagu-1141518524.so
chmod 777 <Package Folder>/lib/helper
dd if=<Package Folder>/lib/libhelper.so of=<Package Folder>/lib/helper
df
getprop
getprop ro.miui.ui.version.name
getprop ro.yunos.version
ls -l /system/bin/su
ls /sys/devices/system/cpu
ping -c 2 113.31.86.140
ping -c 2 113.31.86.143
ping -c 2 ia.in6way.com
ping -c 2 ia.xuanwu88.com
ping -c 2 ic.huihuitech.net
ping -c 2 ic.yoko66.com
sh

Loads the following dynamic libraries:

cocos2dcpp
libhelper
libjiagu-1141518524
libsmsmanager
libzxvps

Uses the following algorithms to encrypt data:

AES-CBC-PKCS5Padding
AES-CBC-PKCS7Padding
AES-ECB-PKCS5Padding
DES
DES-CBC-PKCS5Padding
DES-ECB-NoPadding
RSA-ECB-PKCS1Padding

Uses the following algorithms to decrypt data:

AES
AES-CBC-PKCS7Padding
DES
DES-CBC-PKCS5Padding
DES-ECB-NoPadding

Uses special library to hide executable bytecode.

Gains access to geolocation.

Gains access to network information.

Gains access to telephone information (number, imei, etc.).

Gains access to information about installed applications.

Gains access to information about running applications.

Displays its own windows over windows of other applications.

Parses information from SMS messages.

Gains access to information about sent/received SMS messages.

Technologies

Terminology

Training and education

Myths

Technical information

Curing recommendations

Free trial