Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) s.a.longy####.com:80
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) c-h####.g####.com:80
- TCP(HTTP/1.1) kan####.go####.com.cn:80
- TCP(HTTP/1.1) t####.c####.q####.####.com:80
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(HTTP/1.1) t####.dmp.y####.net:80
- TCP(HTTP/1.1) pi####.qq.com:80
- TCP(HTTP/1.1) l####.c####.q####.####.net:80
- TCP(HTTP/1.1) sdk.o####.p####.####.com:80
- TCP(HTTP/1.1) s.y####.net:80
- TCP(HTTP/1.1) sni.c####.q####.####.net:80
- TCP(HTTP/1.1) f####.z####.dom####.com:80
- TCP(TLS/1.0) x####.tc.qq.com:443
- TCP sdk.o####.t####.####.com:5224
- TCP c####.g####.ig####.com:5227
Запросы DNS:
- 7j####.c####.z0.####.com
- 9####.nd####.y####.com
- a####.u####.com
- and####.b####.qq.com
- c####.g####.ig####.com
- c-h####.g####.com
- f####.z####.dom####.com
- kan####.go####.com.cn
- pi####.qq.com
- pub-####.qin####.com
- s####.gw.y####.net
- s.a.longy####.com
- s.b####.g####.com
- s.y####.net
- sdk.c####.ig####.com
- sdk.o####.p####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
- sdk.st####.y####.com
- t####.dmp.y####.net
Запросы HTTP GET:
- f####.z####.dom####.com/url/data_url.json
- l####.c####.q####.####.net/core/aos-dex/1807/8211/99e5f5c2
- l####.c####.q####.####.net/core/aos-so/1611/7000/ad389c56.so
- l####.c####.q####.####.net/tdata_rRG322
- l####.c####.q####.####.net/tdata_vHH584
- s.y####.net/aos/v3/initf?s=####
- s.y####.net/stat/aos/v3/pkc?s=####
- s.y####.net/stat/aos/v3/pku?s=####
- s.y####.net/stat/v3/udt2?appid=####&s=####
- sni.c####.q####.####.net/config/hz-hzv3.conf
- t####.c####.q####.####.com/tdata_EDT356
Запросы HTTP POST:
- a####.u####.com/app_logs
- and####.b####.qq.com/rqd/async?aid=####
- c-h####.g####.com/api.php?format=####&t=####
- kan####.go####.com.cn/zl/api/html/list
- kan####.go####.com.cn/zl/api/kf/getQQGroup
- kan####.go####.com.cn/zl/api/wz/url
- kan####.go####.com.cn/zl/api/wz_hb/list
- pi####.qq.com/mstat/report/?index=####
- s.a.longy####.com/
- sdk.o####.p####.####.com/api.php?format=####&t=####
- t####.dmp.y####.net/v1/android/packages?rt=####&sign=####
- t####.dmp.y####.net/v2/android/pkgtime?rt=####&sign=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/.mta-wxop.xml
- /data/data/####/0f7970fc6e67499a71a27a391941755d
- /data/data/####/0f7970fc6e67499a71a27a391941755d-journal
- /data/data/####/1002
- /data/data/####/1004
- /data/data/####/44f3bafc37951673c33172babcd10b50
- /data/data/####/44f3bafc37951673c33172babcd10b50-journal
- /data/data/####/6f293ca9c65af36df5a82a6c9d6d0df1-journal
- /data/data/####/8ff47f55a998
- /data/data/####/91232e2b27da29456619de396b08a86e512a2d79406aa35....0.tmp
- /data/data/####/BUGLY_COMMON_VALUES.xml
- /data/data/####/C0XKJAO3JLZKJPDKJFXLINQCJIOAOD.xml
- /data/data/####/CE94557724F842149D690D0E8CBB1CBD.xml
- /data/data/####/MultiDex.lock
- /data/data/####/P15pKIjsm64m
- /data/data/####/P15pKIjsm64m-journal
- /data/data/####/T1oX0rhhuXWt
- /data/data/####/T1oX0rhhuXWt-journal
- /data/data/####/XKwVoK0huy3R
- /data/data/####/XKwVoK0huy3R-journal
- /data/data/####/bugly_db_-journal
- /data/data/####/c4207029-b62f-4b6c-af68-8f5e081fe7ae.zip (deleted)
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/changed_classes.dex.dex
- /data/data/####/changed_classes.dex.jar
- /data/data/####/com.gosing.earn.kdkd.BETA_VALUES.xml
- /data/data/####/com.gosing.earn.kdkd_preferences.xml
- /data/data/####/crashrecord.xml
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/gdaemon_20161017
- /data/data/####/getui_sp.xml
- /data/data/####/gx_sp.xml
- /data/data/####/home_ic_task.png
- /data/data/####/info.lock
- /data/data/####/init.pid
- /data/data/####/init_c1.pid
- /data/data/####/journal.tmp
- /data/data/####/jqIqJYOT3JpT
- /data/data/####/jqIqJYOT3JpT-journal
- /data/data/####/jump.xml
- /data/data/####/libabcdefgh.so.new
- /data/data/####/libjiagu-760593052.so
- /data/data/####/local_crash_lock
- /data/data/####/longyun_sdk.xml
- /data/data/####/multidex.version.xml
- /data/data/####/nav_ic_read_default.png
- /data/data/####/nav_ic_read_select.png
- /data/data/####/patch-a0931ca2.apk
- /data/data/####/patch.apk
- /data/data/####/patch.info
- /data/data/####/patch.retry
- /data/data/####/pri_wxop_tencent_analysis.db-journal
- /data/data/####/push.pid
- /data/data/####/pushext.db-journal
- /data/data/####/pushg.db-journal
- /data/data/####/pushsdk.db-journal
- /data/data/####/qqgroup.xml
- /data/data/####/resources.apk
- /data/data/####/resources.arsc
- /data/data/####/run.pid
- /data/data/####/security_info
- /data/data/####/tdata_rRG322
- /data/data/####/tdata_rRG322.jar
- /data/data/####/tdata_vHH584
- /data/data/####/tdata_vHH584.jar
- /data/data/####/temp.apk
- /data/data/####/test.dex.dex
- /data/data/####/test.dex.jar
- /data/data/####/tmpPatch.apk
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/wIU6pTyUBYWX
- /data/data/####/wIU6pTyUBYWX-journal
- /data/data/####/webview.db-journal
- /data/data/####/wsUL1uCdKvjD
- /data/data/####/wsUL1uCdKvjD-journal
- /data/data/####/wx_share.cfg.xml
- /data/data/####/wxop_tencent_analysis.db-journal
- /data/data/####/ymdex.jar
- /data/data/####/ymdex.jar.new
- /data/media/####/.mid.txt
- /data/media/####/.nomedia
- /data/media/####/DXTX902KJZX9JASLDJF
- /data/media/####/DXTX902KJZX9JASLDJF.ymtf
- /data/media/####/SOX90123JSOALK2098SD
- /data/media/####/SOX90123JSOALK2098SD.ymtf
- /data/media/####/app.db
- /data/media/####/com.getui.sdk.deviceId.db
- /data/media/####/com.gosing.earn.kdkd.bin
- /data/media/####/com.gosing.earn.kdkd.db
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/i42d45df023jnkdd93la483f9xGFKXI
- /data/media/####/s92TjjdfoP2n3o9dfji2l9s1olkjf0p
- /data/media/####/tdata_rRG322
- /data/media/####/tdata_vHH584
- /data/media/####/test.log
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
- /system/bin/cat /sys/devices/system/cpu/kernel_max
- /system/bin/sh -c getprop
- /system/bin/sh -c type su
- <Package Folder>/files/gdaemon_20161017 0 <Package>/com.gosing.pocketgain.service.PushInitializeService 24940 300 0
- cat /sys/class/net/wlan0/address
- chmod 700 <Package Folder>/files/gdaemon_20161017
- chmod 755 <Package Folder>/.jiagu/libjiagu-760593052.so
- mount
- sh <Package Folder>/files/gdaemon_20161017 0 <Package>/com.gosing.pocketgain.service.PushInitializeService 24940 300 0
Загружает динамические библиотеки:
- Bugly
- abcdefgh
- getuiext2
- libjiagu-760593052
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS7Padding
- AES-GCM-NoPadding
- DES
- PBEWITHMD5andDES
- RSA-ECB-PKCS1Padding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS7Padding
- AES-GCM-NoPadding
- PBEWITHMD5andDES
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
