Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) st####.sport####.cn.####.com:80
- TCP(HTTP/1.1) wz.ka####.ltd:80
- TCP(HTTP/1.1) t####.c####.q####.####.com:80
- TCP(HTTP/1.1) f####.ka####.ltd:80
- TCP(HTTP/1.1) weiboi####.g####.sina####.com:80
- TCP(HTTP/1.1) c-h####.g####.com:80
- TCP(HTTP/1.1) sdk.o####.p####.####.com:80
- TCP(HTTP/1.1) sni.c####.q####.####.net:80
- TCP c####.g####.ig####.com:5226
- TCP sdk.o####.t####.####.com:5224
Запросы DNS:
- 7j####.c####.z0.####.com
- a####.u####.com
- c####.g####.ig####.com
- c-h####.g####.com
- f####.ka####.ltd
- pub-####.qin####.com
- sdk.c####.ig####.com
- sdk.o####.p####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
- st####.sport####.cn
- wx1.sin####.cn
- wx2.sin####.cn
- wz.ka####.ltd
Запросы HTTP GET:
- f####.ka####.ltd/www/wangzhe_android_4.1.7_1600000013.zip
- sni.c####.q####.####.net/config/hz-hzv3.conf
- sni.c####.q####.####.net/tdata_Soq141
- sni.c####.q####.####.net/tdata_vxj811
- st####.sport####.cn.####.com/images/2018/07/03/36_2022453781.png
- st####.sport####.cn.####.com/images/2018/07/03/36_2025196981.png
- t####.c####.q####.####.com/tdata_EDT356
- weiboi####.g####.sina####.com/mw690/0060lm7Tly1ftcvf62gklj30u0064grj.jpg
- weiboi####.g####.sina####.com/mw690/0060lm7Tly1fte1gu9mz6j30j608cwkf.jpg
- wz.ka####.ltd/api/api?m=####
- wz.ka####.ltd/api?m=####&appKey=####&version=####&platform=####&jsVersio...
Запросы HTTP POST:
- a####.u####.com/app_logs
- c-h####.g####.com/api.php?format=####&t=####
- sdk.o####.p####.####.com/api.php?format=####&t=####
- wz.ka####.ltd/api?m=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/1924804f4e1a
- /data/data/####/CachedGeoposition.db
- /data/data/####/CachedGeoposition.db-journal
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/config_all.xml
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/f_000004
- /data/data/####/file__0.localstorage-journal
- /data/data/####/gdaemon_20161017
- /data/data/####/getui_sp.xml
- /data/data/####/getui_sp.xml (deleted)
- /data/data/####/gx_sp.xml
- /data/data/####/index
- /data/data/####/init.pid
- /data/data/####/init_c1.pid
- /data/data/####/libjiagu-2015978397.so
- /data/data/####/multidex.version.xml
- /data/data/####/para.xml
- /data/data/####/push.pid
- /data/data/####/pushext.db-journal
- /data/data/####/pushg.db-journal
- /data/data/####/pushsdk.db-journal
- /data/data/####/run.pid
- /data/data/####/tdata_Soq141
- /data/data/####/tdata_Soq141.jar
- /data/data/####/tdata_vxj811
- /data/data/####/tdata_vxj811.jar
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/.git
- /data/media/####/API.js
- /data/media/####/APIx.js
- /data/media/####/Acceleration.js
- /data/media/####/Connection.js
- /data/media/####/FactoryBetConfirm.js
- /data/media/####/FactoryBetPlan.js
- /data/media/####/FactorySporttery.js
- /data/media/####/UMAnalytics.js
- /data/media/####/UMPush.js
- /data/media/####/UMShare.js
- /data/media/####/aboutSoftware.html
- /data/media/####/aboutUs.html
- /data/media/####/accelerometer.js
- /data/media/####/account.html
- /data/media/####/actBg.png
- /data/media/####/act_bar02.png
- /data/media/####/act_bar03.png
- /data/media/####/act_bar04.png
- /data/media/####/act_bar05.png
- /data/media/####/act_btn.png
- /data/media/####/act_hbbg.png
- /data/media/####/active_pic.png
- /data/media/####/activity.js
- /data/media/####/activityIdx.html
- /data/media/####/adbg-default.png
- /data/media/####/aish-trend.png
- /data/media/####/aishlottery.png
- /data/media/####/aishlottery.png.bak
- /data/media/####/alipayWap.html
- /data/media/####/android.html
- /data/media/####/app.db
- /data/media/####/arrow.png
- /data/media/####/arrowup.png
- /data/media/####/award.js
- /data/media/####/back.png
- /data/media/####/bank.png
- /data/media/####/banner-scroe.png
- /data/media/####/basketFilter.html
- /data/media/####/basketMix.html
- /data/media/####/basketScoreData.html
- /data/media/####/basketScoreLive.html
- /data/media/####/betRecord.html
- /data/media/####/betlist.html
- /data/media/####/bg_1.png
- /data/media/####/big.css
- /data/media/####/big.js
- /data/media/####/bindBank.html
- /data/media/####/bindPhone.html
- /data/media/####/bjdc01.png
- /data/media/####/bjdcBonus.js
- /data/media/####/bjdcFilter.html
- /data/media/####/bjdcFilter.js
- /data/media/####/bjdcbf.html
- /data/media/####/bjdcbf.js
- /data/media/####/bjdcbqc.html
- /data/media/####/bjdcbqc.js
- /data/media/####/bjdcsfgg.html
- /data/media/####/bjdcsfgg.js
- /data/media/####/bjdcsoccer.js
- /data/media/####/bjdcspf.html
- /data/media/####/bjdcspf.js
- /data/media/####/bjdcsxds.html
- /data/media/####/bjdcsxds.js
- /data/media/####/bjdczjq.html
- /data/media/####/bjdczjq.js
- /data/media/####/bonusRecord.html
- /data/media/####/botNav01.png
- /data/media/####/botNav02.png
- /data/media/####/botNav03.png
- /data/media/####/botNav04.png
- /data/media/####/bszb.png
- /data/media/####/buyConfirm.html
- /data/media/####/buyConfirm.js
- /data/media/####/buyOpenTicket.html
- /data/media/####/cart.png
- /data/media/####/cashRecord.html
- /data/media/####/cashier.html
- /data/media/####/cha.png
- /data/media/####/chart.png
- /data/media/####/chartIdx.html
- /data/media/####/checked.png
- /data/media/####/checked2.png
- /data/media/####/checked3.png
- /data/media/####/clearAll.png
- /data/media/####/clock.png
- /data/media/####/close.png
- /data/media/####/com.getui.sdk.deviceId.db
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/com.wangzhe.pj.wzcp.bin
- /data/media/####/com.wangzhe.pj.wzcp.db
- /data/media/####/continueLottery.html
- /data/media/####/cordova.js
- /data/media/####/cordova_plugins.js
- /data/media/####/coupon.png
- /data/media/####/couponicon.png
- /data/media/####/cqssc01.png
- /data/media/####/cue.png
- /data/media/####/d3.html
- /data/media/####/d301.png
- /data/media/####/d3Trend.html
- /data/media/####/defBanner.png
- /data/media/####/defNewsBanner.jpg
- /data/media/####/device.js
- /data/media/####/dialog_click.png
- /data/media/####/dialog_close.png
- /data/media/####/dialog_img.png
- /data/media/####/discover.html
- /data/media/####/discover.js
- /data/media/####/dlt.html
- /data/media/####/dlt01.png
- /data/media/####/dltTrend.html
- /data/media/####/dotbg1.png
- /data/media/####/dotbg2.png
- /data/media/####/dotbg3.png
- /data/media/####/ebankList.html
- /data/media/####/ebankRecharge.html
- /data/media/####/expire.png
- /data/media/####/extendDetail.html
- /data/media/####/extendList.html
- /data/media/####/fastBet.html
- /data/media/####/fastK3.html
- /data/media/####/fastK3Trend.html
- /data/media/####/fastTrend.html
- /data/media/####/feedback.html
- /data/media/####/feedbackList.html
- /data/media/####/findPwd.html
- /data/media/####/footballCourt.jpg
- /data/media/####/footballJdss.html
- /data/media/####/freezeRecord.html
- /data/media/####/g-arrow.png
- /data/media/####/g-banner.png
- /data/media/####/g-bg-bot.png
- /data/media/####/g-bg-top.png
- /data/media/####/g-bg.png
- /data/media/####/g-coupon.png
- /data/media/####/g-jd.png
- /data/media/####/g-prize.png
- /data/media/####/g-sad.png
- /data/media/####/g-tit.png
- /data/media/####/gd11x501.png
- /data/media/####/getMoney.html
- /data/media/####/getMoneyRules.html
- /data/media/####/getPhoto.js
- /data/media/####/getTicketRecord.html
- /data/media/####/giftbox.png
- /data/media/####/go.png
- /data/media/####/gx11x501.png
- /data/media/####/gxk301.png
- /data/media/####/handselRecord.html
- /data/media/####/hdzx.png
- /data/media/####/help.html
- /data/media/####/helpDetail.html
- /data/media/####/help_pq.png
- /data/media/####/hn4j1.html
- /data/media/####/hn4j1Trend.html
- /data/media/####/home.html
- /data/media/####/home.js
- /data/media/####/home_zdj.png
- /data/media/####/hongbao.png
- /data/media/####/hotmatch.png
- /data/media/####/hub11x501.png
- /data/media/####/icon-sm.png
- /data/media/####/icon.png
- /data/media/####/icons-scroe.png
- /data/media/####/icons.png
- /data/media/####/im-icons.png
- /data/media/####/index-act.png
- /data/media/####/index-nav.png
- /data/media/####/info-icon.png
- /data/media/####/invite-icon.png
- /data/media/####/invsendBonus.html
- /data/media/####/invsendBonusDetail.html
- /data/media/####/iv-banner.png
- /data/media/####/iv-bg.png
- /data/media/####/iv-none-txt.png
- /data/media/####/iv-none.png
- /data/media/####/jclq01.png
- /data/media/####/jczq01.png
- /data/media/####/jinrifenqian.png
- /data/media/####/jkp.png
- /data/media/####/jx11x501.png
- /data/media/####/jxk301.png
- /data/media/####/jz2x101.png
- /data/media/####/jzdg01.png
- /data/media/####/kaijiang.js
- /data/media/####/kaijiangIndex.html
- /data/media/####/key-new.png
- /data/media/####/layout.css
- /data/media/####/layout.js
- /data/media/####/lib.js
- /data/media/####/liveScore.html
- /data/media/####/liveicon.png
- /data/media/####/ln11x501.png
- /data/media/####/loading_1.gif
- /data/media/####/localSite.html
- /data/media/####/login.html
- /data/media/####/logo-aish.png
- /data/media/####/logo-tc.png
- /data/media/####/logo2.png
- /data/media/####/lotteryList.html
- /data/media/####/lotteryRules.html
- /data/media/####/lottery_icon.png
- /data/media/####/loudou.png
- /data/media/####/lqbfzb.png
- /data/media/####/manage.png
- /data/media/####/manageInfo.html
- /data/media/####/marker_red_sprite.png
- /data/media/####/memberBetRecord.html
- /data/media/####/memberbet.png
- /data/media/####/modifyBank.html
- /data/media/####/modifyPhone.html
- /data/media/####/modifyPwd.html
- /data/media/####/modifyStationInfo.html
- /data/media/####/modifyUserName.html
- /data/media/####/more-lottery.png
- /data/media/####/moren.png
- /data/media/####/msg.png
- /data/media/####/msgblue.png
- /data/media/####/myBankList.html
- /data/media/####/nav_icon.png
- /data/media/####/network.js
- /data/media/####/news.js
- /data/media/####/newsDetail.html
- /data/media/####/newsIdx.html
- /data/media/####/newsList.html
- /data/media/####/newsWin.html
- /data/media/####/noPwdPay.html
- /data/media/####/nomatch.png
- /data/media/####/numKaijiang.html
- /data/media/####/numLottery.js
- /data/media/####/numLotteryConfirm.js
- /data/media/####/openTicketRecord.html
- /data/media/####/order.png
- /data/media/####/order_old.png
- /data/media/####/otImgDetail.html
- /data/media/####/passport1.png
- /data/media/####/passport2.png
- /data/media/####/passport3.png
- /data/media/####/pay.png
- /data/media/####/payStatus.html
- /data/media/####/payTreasure.css
- /data/media/####/payTreasure.html
- /data/media/####/payTreasure.js
- /data/media/####/pl3.html
- /data/media/####/pl301.png
- /data/media/####/pl3Trend.html
- /data/media/####/pl5.html
- /data/media/####/pl501.png
- /data/media/####/pl5Trend.html
- /data/media/####/plan.html
- /data/media/####/planDetail.html
- /data/media/####/planRecord.html
- /data/media/####/planSubDetail.html
- /data/media/####/prizeNotify.html
- /data/media/####/prizeReviewDetail.html
- /data/media/####/prizeTool.html
- /data/media/####/prize_1.png
- /data/media/####/projectDetail.html
- /data/media/####/projectSubDetail.html
- /data/media/####/protocol.html
- /data/media/####/public.js
- /data/media/####/qdzs.png
- /data/media/####/qh11x501.png
- /data/media/####/qq.png
- /data/media/####/qupiaoPwd.html
- /data/media/####/qupiaoSet.html
- /data/media/####/qxc.html
- /data/media/####/qxc.png
- /data/media/####/qxcTrend.html
- /data/media/####/radiobox.png
- /data/media/####/radiobox2.png
- /data/media/####/rechargeRecord.html
- /data/media/####/rechargeStatus.html
- /data/media/####/record.js
- /data/media/####/redBag.html
- /data/media/####/refurbish.png
- /data/media/####/reg.png
- /data/media/####/regByMobile.html
- /data/media/####/regRealName.html
- /data/media/####/regSuccess.html
- /data/media/####/register.html
- /data/media/####/regsendBonus.html
- /data/media/####/resetPwd.html
- /data/media/####/scoreAct.html
- /data/media/####/scoreData.html
- /data/media/####/scoreLive.html
- /data/media/####/scorePrize.html
- /data/media/####/scorePrizeRecord.html
- /data/media/####/scoreRecord.html
- /data/media/####/sd11x501.png
- /data/media/####/searchBetResult.html
- /data/media/####/searchCashRecord.html
- /data/media/####/searchCashResult.html
- /data/media/####/searchPlan.html
- /data/media/####/searchPlanResult.html
- /data/media/####/searchRecord.html
- /data/media/####/searchScoreRecord.html
- /data/media/####/searchScoreResult.html
- /data/media/####/searchSite.html
- /data/media/####/sendPrize.html
- /data/media/####/service.html
- /data/media/####/serviceCode.html
- /data/media/####/setNoteName.html
- /data/media/####/setRulesState.js
- /data/media/####/setting.html
- /data/media/####/shangla.png
- /data/media/####/share.png
- /data/media/####/shx11x501.png
- /data/media/####/signCoupon.png
- /data/media/####/signProtocol.html
- /data/media/####/slider.png
- /data/media/####/soccer2x1.html
- /data/media/####/soccerMix.html
- /data/media/####/soccerR9.html
- /data/media/####/soccerToto.html
- /data/media/####/spf1401.png
- /data/media/####/spf901.png
- /data/media/####/splashscreen.js
- /data/media/####/sporttery.js
- /data/media/####/sportteryFilter.html
- /data/media/####/ssc.html
- /data/media/####/ssq.html
- /data/media/####/ssq01.png
- /data/media/####/ssqTrend.html
- /data/media/####/staricon_blue.png
- /data/media/####/staricon_gray.png
- /data/media/####/staricon_green.png
- /data/media/####/staricon_purple.png
- /data/media/####/staricon_red.png
- /data/media/####/state.png
- /data/media/####/station.js
- /data/media/####/stationCode.html
- /data/media/####/stationDetail.html
- /data/media/####/stationInfo.html
- /data/media/####/stationListMap.html
- /data/media/####/stationRecharge.html
- /data/media/####/style.css
- /data/media/####/submit.png
- /data/media/####/suc_1.png
- /data/media/####/sweep.html
- /data/media/####/tdata_Soq141
- /data/media/####/tdata_vxj811
- /data/media/####/test.log
- /data/media/####/ticketCashier.html
- /data/media/####/ticketDetail.html
- /data/media/####/tip_icon.png
- /data/media/####/trend.png
- /data/media/####/ttfq.png
- /data/media/####/ttfqbanner.jpg
- /data/media/####/tu1.png
- /data/media/####/uncheck.png
- /data/media/####/uncheck2.png
- /data/media/####/uncheck3.png
- /data/media/####/userCenter.html
- /data/media/####/userInfo.html
- /data/media/####/userInfo.js
- /data/media/####/userSet.html
- /data/media/####/verifyId.html
- /data/media/####/verifyInfo.html
- /data/media/####/verifyPhone.html
- /data/media/####/verifyPwd.html
- /data/media/####/version.json
- /data/media/####/veryhuo.gif
- /data/media/####/vibration.js
- /data/media/####/wait_icon.png
- /data/media/####/wait_loading.gif
- /data/media/####/wait_loading_old.gif
- /data/media/####/wangzhe_android_4.1.7_1600000013.zip_tmp
- /data/media/####/wechatpayApp.html
- /data/media/####/wechatpayWeb.html
- /data/media/####/weixin.png
- /data/media/####/wifi.gif
- /data/media/####/wifi.png
- /data/media/####/wifiGrant.html
- /data/media/####/wifi_1.gif
- /data/media/####/withDraw.html
- /data/media/####/withdrawDetail.html
- /data/media/####/withdrawRecord.html
- /data/media/####/withdrawRules.html
- /data/media/####/withdrawToAlipay.html
- /data/media/####/withdrawToAlipay.js
- /data/media/####/worldCup.css
- /data/media/####/worldCup.html
- /data/media/####/worldcup01.png
- /data/media/####/worldcupSoccer.js
- /data/media/####/xiala.png
- /data/media/####/xj11x501.png
- /data/media/####/yn11x501.png
- /data/media/####/z1.png
- /data/media/####/z2.png
- /data/media/####/z3.png
- /data/media/####/zcs500.png
- /data/media/####/zhIndex.png
- /data/media/####/zhtcbanner.jpg
- /data/media/####/zjfd.html
- /data/media/####/zjfd.png
- /data/media/####/zjfdbanner.jpg
- /data/media/####/zjpm.png
- /data/media/####/zxkf.png
- /data/media/####/zxtj.png
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/files/gdaemon_20161017 0 <Package>/com.caip2345.lottery.push.PushService 24883 300 0
- cat /sys/class/net/wlan0/address
- chmod 700 <Package Folder>/files/gdaemon_20161017
- chmod 755 <Package Folder>/.jiagu/libjiagu-2015978397.so
- mount
Загружает динамические библиотеки:
- getuiext2
- libjiagu-2015978397
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS7Padding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
