Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) c-h####.g####.com:80
- TCP(HTTP/1.1) m.d####.mob.com:80
- TCP(HTTP/1.1) l####.tbs.qq.com:80
- TCP(HTTP/1.1) a####.exc.mob.com:80
- TCP(HTTP/1.1) 47.94.1####.48:80
- TCP(HTTP/1.1) financ####.51urm####.com:80
- TCP(HTTP/1.1) api.s####.mob.com:80
- TCP(HTTP/1.1) rs.eas####.com:80
- TCP(HTTP/1.1) sdk.o####.p####.####.com:80
- TCP(HTTP/1.1) sni.c####.q####.####.net:80
- TCP c####.g####.ig####.com:5224
- TCP sdk.o####.t####.####.com:5224
Запросы DNS:
- 7j####.c####.z0.####.com
- a####.exc.mob.com
- api.s####.mob.com
- c####.g####.ig####.com
- c-h####.g####.com
- fin####.51urm####.com
- financ####.51urm####.com
- l####.tbs.qq.com
- m.d####.mob.com
- rs.eas####.com
- sdk.c####.ig####.com
- sdk.o####.p####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
Запросы HTTP GET:
- financ####.51urm####.com/aweb/NewswDetail.php?nid=####
- financ####.51urm####.com/upload/2018/03/22/20180322160249642.jpg
- financ####.51urm####.com/upload/2018/03/22/20180322160634216.jpg
- financ####.51urm####.com/upload/2018/03/30/20180330151111406.jpg
- financ####.51urm####.com/upload/2018/07/04/20180704151543338.jpg
- financ####.51urm####.com/upload/2018/07/09/20180709150404636.jpg
- financ####.51urm####.com/upload/2018/07/09/20180709152238273.jpg
- financ####.51urm####.com/upload/2018/07/10/20180710084339625.jpg
- financ####.51urm####.com/upload/2018/07/10/20180710135304237.jpg
- financ####.51urm####.com/upload/2018/07/11/20180711083516747.jpg
- financ####.51urm####.com/upload/2018/07/11/20180711101758678.jpg
- financ####.51urm####.com/upload/2018/07/30/20180730134532721.jpg
- financ####.51urm####.com/upload/2018/07/30/20180730135042817.jpg
- financ####.51urm####.com/upload/2018/07/30/20180730135403958.jpg
- financ####.51urm####.com/upload/2018/07/30/20180730153159849.jpg
- financ####.51urm####.com/upload/2018/07/30/20180730155539423.jpg
- financ####.51urm####.com/upload/2018/08/01/20180801083817472.jpg
- financ####.51urm####.com/upload/2018/08/01/20180801084150395.jpg
- financ####.51urm####.com/upload/2018/08/01/20180801084638943.jpg
- financ####.51urm####.com/upload/2018/08/01/20180801084917690.jpg
- financ####.51urm####.com/upload/image/20180330/20180330150834_82295.jpg
- financ####.51urm####.com/upload/image/20180330/20180330150916_71963.jpg
- m.d####.mob.com/v3/cconf?appkey=####&plat=####&apppkg=####&appver=####&n...
- rs.eas####.com/easemob/server.json?sdk_version=####&app_key=####&file_ve...
- sni.c####.q####.####.net/config/hz-hzv3.conf
- sni.c####.q####.####.net/tdata_asl709
Запросы HTTP POST:
- a####.exc.mob.com/errconf
- api.s####.mob.com/conf5
- api.s####.mob.com/conn
- api.s####.mob.com/log4
- api.s####.mob.com/snsconf
- c-h####.g####.com/api.php?format=####&t=####
- financ####.51urm####.com/v1_1/
- l####.tbs.qq.com/ajax?c=####&k=####
- sdk.o####.p####.####.com/api.php?format=####&t=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/.lock
- /data/data/####/.mrecord
- /data/data/####/.mrlock
- /data/data/####/.statistics
- /data/data/####/00c266fdfba0be1f6b6b46fb74026eb8c557a30e4b898a9....0.tmp
- /data/data/####/0e056f8783c797f9ec9e5a5aefed1adc4f5091c37387b9f....0.tmp
- /data/data/####/10dfac4c693a40b41ff8e70207a8e952fd5a833094ce739....0.tmp
- /data/data/####/29e6bf9ac691d66ceab271ae62f018316cc417b919cdfa2....0.tmp
- /data/data/####/460bf17301e2262c466a7b4bd299640c2ef29c3ab6e47c0....0.tmp
- /data/data/####/5395035dc97444a0ead83f5369df6d53af23c94019b2d4c....0.tmp
- /data/data/####/74252b4d6cdec56aa5f4d7a9b9f002aff4224089d8883bc....0.tmp
- /data/data/####/7fa1be15b9e7a0136916968521a32b9a8a8fbecff508f45....0.tmp
- /data/data/####/8325b349bab396e80ccd43fb1300cf30a25beffdc313943....0.tmp
- /data/data/####/8671cc4d8683aac85ee709a576a0f6c8fdae9989b9ed2a0....0.tmp
- /data/data/####/9049628fcfbb727ef24691764bcdb8fbf79c6d4a83ce952....0.tmp
- /data/data/####/9a2e93c05f65da200c8b0905b3d0b0a0b1ed4e0a1b9bef6....0.tmp
- /data/data/####/ThrowalbeLog.db-journal
- /data/data/####/_nohttp_cache_db.db
- /data/data/####/_nohttp_cache_db.db-journal
- /data/data/####/_nohttp_cookies_db.db
- /data/data/####/_nohttp_cookies_db.db-journal
- /data/data/####/a48c6b97676100ed568829fdf78673d9b6b8e2dc2a80369....0.tmp
- /data/data/####/a559a6f926a392a35ed7bc1e53982bb8c062e53b6ddb200....0.tmp
- /data/data/####/com.tsutsuku.caizhen_preferences.xml
- /data/data/####/config.json
- /data/data/####/core_info
- /data/data/####/d0cc020730cf75dd2f6dbb7c57660571f596e2f148b591b....0.tmp
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/device_id.xml.xml
- /data/data/####/e6c05f82e032484807010c022100b66f196ba7f50eb9538....0.tmp
- /data/data/####/ed175a74667994921a9371b6ee6acfcd270bb183bd020e9....0.tmp
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/ff339f29f12284bb54d911e8c241caf20211ce55529524e....0.tmp
- /data/data/####/ff49b9c1a3cf8eaa460a936b0757e4950f896f0b9c19709....0.tmp
- /data/data/####/gdaemon_20161017
- /data/data/####/getui_sp.xml
- /data/data/####/index
- /data/data/####/init.pid
- /data/data/####/init_c1.pid
- /data/data/####/journal.tmp
- /data/data/####/libjiagu2057590135.so
- /data/data/####/mob_commons_1
- /data/data/####/mob_sdk_exception_1
- /data/data/####/multidex.version.xml
- /data/data/####/push.pid
- /data/data/####/pushext.db-journal
- /data/data/####/pushsdk.db-journal
- /data/data/####/run.pid
- /data/data/####/server.json
- /data/data/####/share_sdk_1
- /data/data/####/sharesdk.db-journal
- /data/data/####/systemPre.xml
- /data/data/####/tbs_download_config.xml
- /data/data/####/tbs_download_stat.xml
- /data/data/####/tbscoreinstall.txt
- /data/data/####/tbslock.txt
- /data/data/####/tdata_asl709
- /data/data/####/tdata_asl709.jar
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/.di
- /data/media/####/.dic_lock
- /data/media/####/.globalLock
- /data/media/####/.mps
- /data/media/####/.nulplt
- /data/media/####/.pkg_lock
- /data/media/####/.rcTag
- /data/media/####/.rc_lock
- /data/media/####/app.db
- /data/media/####/com.getui.sdk.deviceId.db
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/com.tsutsuku.caizhen.bin
- /data/media/####/com.tsutsuku.caizhen.db
- /data/media/####/tdata_asl709
- /data/media/####/test.log
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/files/gdaemon_20161017 0 <Package>/<Package>.block.push.GetuiPushService 25069 300 0
- chmod 700 <Package Folder>/files/gdaemon_20161017
- chmod 755 <Package Folder>/.jiagu/libjiagu2057590135.so
- getprop ro.product.cpu.abi
- sh
- sh <Package Folder>/files/gdaemon_20161017 0 <Package>/<Package>.block.push.GetuiPushService 25069 300 0
Загружает динамические библиотеки:
- getuiext2
- hyphenate
- hyphenate_av
- libjiagu2057590135
- neh
- realm-jni
Использует следующие алгоритмы для шифрования данных:
- AES-ECB-PKCS7Padding
- RSA-ECB-NoPadding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-ECB-NoPadding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
