Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) sni.c####.q####.####.net:80
- TCP(HTTP/1.1) sdk.o####.p####.####.com:80
- TCP(HTTP/1.1) c-h####.g####.com:80
- TCP(HTTP/1.1) k####.b####.com:80
- TCP(HTTP/1.1) cgi.con####.qq.com:80
- TCP(TLS/1.0) uf####.b####.com:443
- TCP(TLS/1.0) j####.b####.com:443
- TCP(TLS/1.0) api.w####.com:443
- TCP(TLS/1.0) edu-y####.b####.com.####.com:443
- TCP(TLS/1.0) w####.b####.com:443
- TCP(TLS/1.0) www.a.sh####.com:443
- TCP(TLS/1.0) so####.b####.com:443
- TCP(TLS/1.0) wkst####.b####.com:443
- TCP(TLS/1.0) www.baif####.com:443
- TCP(TLS/1.0) c####.b####.com:443
- TCP(TLS/1.0) h####.b####.com:443
- TCP(TLS/1.0) g####.bdst####.com:443
- TCP(TLS/1.0) gi####.b####.com:443
- TCP(TLS/1.0) yd.b####.com:443
- TCP sdk.o####.t####.####.com:5224
- TCP c####.g####.ig####.com:5226
Запросы DNS:
- 7j####.c####.z0.####.com
- a####.b####.com
- api.w####.com
- c####.b####.com
- c####.g####.ig####.com
- c-h####.g####.com
- cgi.con####.qq.com
- edu-y####.b####.com
- g####.bdst####.com
- gi####.b####.com
- h####.b####.com
- j####.b####.com
- k####.b####.com
- m.b####.com
- mt####.go####.com
- nsc####.b####.com
- sdk.c####.ig####.com
- sdk.o####.p####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
- so####.b####.com
- uf####.b####.com
- w####.b####.com
- wkst####.b####.com
- www.b####.com
- www.baif####.com
- yd.b####.com
Запросы HTTP GET:
- cgi.con####.qq.com/qqconnectopen/openapi/policy_conf?sdkv=####&appid=###...
- k####.b####.com/rule/wenku_android_1.6.4.rule
- sni.c####.q####.####.net/config/hz-hzv3.conf
- sni.c####.q####.####.net/tdata_YYn966
- sni.c####.q####.####.net/tdata_eOt091
Запросы HTTP POST:
- c-h####.g####.com/api.php?format=####&t=####
- k####.b####.com/ctj/wenku?uid=####&ndid=####&enter_type=####&op=####&c=#...
- sdk.o####.p####.####.com/api.php?format=####&t=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/.libbaiducuid.so
- /data/data/####/0_freq.xml
- /data/data/####/51_bs.xml
- /data/data/####/AndroidTTS.xml
- /data/data/####/BaiduGid.db-journal
- /data/data/####/SP_AROUTER_CACHE.xml
- /data/data/####/Stat_SDK_SendRem.xml
- /data/data/####/UfoSharePreference.xml
- /data/data/####/__Baidu_Stat_SDK_SendRem.xml
- /data/data/####/__Baidu_Wallet_SDK_FP.xml
- /data/data/####/__local_ap_info_cache.json
- /data/data/####/__local_last_session.json
- /data/data/####/__local_stat_cache.json
- /data/data/####/__send_data_1526453964986
- /data/data/####/_nlog_0_wenku.ded98d40f17ac915003388a7dc9e1de1.dat
- /data/data/####/aitingCommonConfig.xml
- /data/data/####/aitingSearchHitConfig.xml
- /data/data/####/aitingSplashConfig.xml
- /data/data/####/aiting_1.db-journal
- /data/data/####/androidNormalUpdateSet.xml
- /data/data/####/baidu_mtj_sdk_record.xml
- /data/data/####/bd_pass_cuid_system.xml
- /data/data/####/bdg_system.xml
- /data/data/####/com.baidu.aiting_preferences.xml
- /data/data/####/com.baidu.wallet.preferences_name.xml
- /data/data/####/com.tencent.open.config.json.101462182
- /data/data/####/crablite_app_life.xml
- /data/data/####/crablite_user_info.xml
- /data/data/####/customerservice.db-journal
- /data/data/####/d.db-journal
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/f_000001
- /data/data/####/fdid.xml
- /data/data/####/gdaemon_20161017
- /data/data/####/getui_sp.xml
- /data/data/####/gx_sp.xml
- /data/data/####/index
- /data/data/####/init.pid
- /data/data/####/init_c1.pid
- /data/data/####/leroadcfg.xml
- /data/data/####/libcuid.so
- /data/data/####/libjiagu354005292.so
- /data/data/####/multidex.version.xml
- /data/data/####/pass.p51-1.0.2-1.0.3.apk
- /data/data/####/pass.p51-1.0.2-1.0.3.png
- /data/data/####/push.pid
- /data/data/####/pushext.db-journal
- /data/data/####/pushg.db-journal
- /data/data/####/pushsdk.db-journal
- /data/data/####/re_po_rt.xml
- /data/data/####/rim-package-info.xml
- /data/data/####/run.pid
- /data/data/####/sapi_share.xml
- /data/data/####/sapi_system.xml
- /data/data/####/speechConfig.xml
- /data/data/####/tdata_YYn966
- /data/data/####/tdata_YYn966.jar
- /data/data/####/tdata_eOt091
- /data/data/####/tdata_eOt091.jar
- /data/data/####/tpgcc.db-journal
- /data/data/####/version.dat
- /data/data/####/wappass.baidu.com-passport-login.html
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/.confd
- /data/media/####/.confd-journal
- /data/media/####/.config.txt
- /data/media/####/.cuid
- /data/media/####/.cuid2
- /data/media/####/.fdid
- /data/media/####/.index
- /data/media/####/.libbaiducuid.so
- /data/media/####/.timestamp
- /data/media/####/aitingCommonConfig
- /data/media/####/aitingDefaultConfig
- /data/media/####/aitingSearchHitConfig
- /data/media/####/aitingSplashConfig
- /data/media/####/androidNormalUpdateSet
- /data/media/####/app.db
- /data/media/####/app_log.txt
- /data/media/####/bd_etts_speech_female.dat
- /data/media/####/bd_etts_speech_male.dat
- /data/media/####/bd_etts_text.dat
- /data/media/####/com.baidu.aiting.bin
- /data/media/####/com.baidu.aiting.db
- /data/media/####/com.getui.sdk.deviceId.db
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/e5b7a0f65e9c0b16683c043bf52e61cf
- /data/media/####/log.txt
- /data/media/####/login.html
- /data/media/####/set.zip
- /data/media/####/speechConfig
- /data/media/####/tdata_YYn966
- /data/media/####/tdata_eOt091
- /data/media/####/test.log
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/files/gdaemon_20161017 0 <Package>/service.push.push.getui.GetuiPushManagerService 24564 300 0
- chmod 700 <Package Folder>/files/gdaemon_20161017
- chmod 755 <Package Folder>/.jiagu/libjiagu354005292.so
- getprop ro.build.display.id
- getprop ro.build.version.emui
- getprop ro.build.version.opporom
- getprop ro.miui.ui.version.name
- getprop ro.smartisan.version
- getprop ro.vivo.os.version
- ls -l /system/bin/su
- sh <Package Folder>/files/gdaemon_20161017 0 <Package>/service.push.push.getui.GetuiPushManagerService 24564 300 0
Загружает динамические библиотеки:
- BDSpeechDecoder_V1
- bd_etts
- bd_fsg_rim_v1_1
- bd_wsp_v1_0
- bdtts
- crash_analysis
- fire
- getuiext2
- gnustl_shared
- libjiagu354005292
- weibosdkcore
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-NoPadding
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS5Padding
- RSA-ECB-PKCS1Padding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
- RSA-NONE-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES
- AES-CBC-NoPadding
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации о настроках APN.
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
