Adware.Gexin.1188

Техническая информация

Вредоносные функции:

Загружает на исполнение код следующих детектируемых угроз:

Adware.Gexin.2.origin

Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).

Сетевая активность:

Подключается к:

UDP(DNS) <Google DNS>
TCP(HTTP/1.1) a####.u####.com:80
TCP(HTTP/1.1) payfing####.zbj.com:80
TCP(HTTP/1.1) m.shan####.com:80
TCP(HTTP/1.1) hm.b####.com:80
TCP(HTTP/1.1) and####.b####.qq.com:80
TCP(HTTP/1.1) sm####.adma####.com.cn:80
TCP(TLS/1.0) q####.shan####.com:443
TCP(TLS/1.0) gl####.w.kunl####.####.com:443
TCP(TLS/1.0) m####.shan####.com.####.com:443
TCP(TLS/1.0) hm.b####.com:443
TCP(TLS/1.0) dl.nta####.com.####.cn:443
TCP(TLS/1.0) mx####.zbj.com:443
TCP(TLS/1.0) bj-t####.nta####.com:443
TCP(TLS/1.0) sm####.adma####.com.cn:443
TCP(TLS/1.0) s####.tc.qq.com:443
TCP(TLS/1.0) tinyali####.c####.l####.####.com:443
TCP(TLS/1.0) m.shan####.com:443

Запросы DNS:

a####.u####.com
and####.b####.qq.com
bj-t####.nta####.com
dl.nta####.com
hm.b####.com
logt####.shan####.com
m####.shan####.com
m####.shan####.com
m####.shan####.com
m####.shan####.com
m####.shan####.com
m####.shan####.com
m####.shan####.com
m####.shan####.com
m####.shan####.com
m####.shan####.com
m####.shan####.com
m####.shan####.com
m####.shan####.com
m####.shan####.com
m####.shan####.com
m####.shan####.com
m####.shan####.com
m####.shan####.com
m.shan####.com
mx####.zbj.com
p####.shan####.com
p####.shan####.com
p####.shan####.com
p####.shan####.com
p####.shan####.com
p####.shan####.com
payfing####.zbj.com
q####.shan####.com
r####.wx.qq.com
sm####.adma####.com.cn

Запросы HTTP GET:

hm.b####.com/hm.gif?cc=####&ck=####&cl=####&ds=####&vl=####&et=####&ja=#...
hm.b####.com/hm.js?2988058####
hm.b####.com/hm.js?2cd596b####
m.shan####.com/
m.shan####.com/dailyCoupon/portalControl
m.shan####.com/layout/ajaxGetNavbar
sm####.adma####.com.cn/p.gif?type=####&sid=####&uid=####&url=####&tl=###...

Запросы HTTP POST:

a####.u####.com/app_logs
and####.b####.qq.com/rqd/async?aid=####
payfing####.zbj.com/public/generate/post

Изменения в файловой системе:

Создает следующие файлы:

/data/data/####/.imprint
/data/data/####/.jg.ic
/data/data/####/1004
/data/data/####/9eb50bc4924533ef.xml
/data/data/####/COMMON_INFO.xml
/data/data/####/KEY_FIRST_CLICK_LOAN.xml
/data/data/####/MultiDex.lock
/data/data/####/bugly_db_-journal
/data/data/####/cc.db
/data/data/####/cc.db-journal
/data/data/####/crashloan.db-journal
/data/data/####/crashrecord.xml
/data/data/####/data_0
/data/data/####/data_1
/data/data/####/data_2
/data/data/####/data_3
/data/data/####/exchangeIdentity.json
/data/data/####/exid.dat
/data/data/####/f_000001
/data/data/####/f_000002
/data/data/####/f_000003
/data/data/####/f_000004
/data/data/####/f_000005
/data/data/####/f_000006
/data/data/####/f_000007
/data/data/####/f_000008
/data/data/####/f_000009
/data/data/####/f_00000a
/data/data/####/f_00000b
/data/data/####/f_00000c
/data/data/####/f_00000d
/data/data/####/f_00000e
/data/data/####/f_00000f
/data/data/####/f_000010
/data/data/####/f_000011
/data/data/####/f_000012
/data/data/####/f_000013
/data/data/####/f_000014
/data/data/####/f_000015
/data/data/####/f_000016
/data/data/####/f_000017
/data/data/####/f_000018
/data/data/####/f_000019
/data/data/####/f_00001a
/data/data/####/f_00001b
/data/data/####/f_00001c
/data/data/####/f_00001d
/data/data/####/f_00001e
/data/data/####/f_00001f
/data/data/####/f_000020
/data/data/####/f_000021
/data/data/####/f_000022
/data/data/####/f_000023
/data/data/####/f_000024
/data/data/####/f_000025
/data/data/####/f_000026
/data/data/####/f_000027
/data/data/####/f_000028
/data/data/####/f_000029
/data/data/####/f_00002a
/data/data/####/f_00002b
/data/data/####/f_00002c
/data/data/####/f_00002d
/data/data/####/f_00002e
/data/data/####/f_00002f
/data/data/####/f_000030
/data/data/####/f_000031
/data/data/####/f_000032
/data/data/####/f_000033
/data/data/####/f_000034
/data/data/####/f_000035
/data/data/####/f_000036
/data/data/####/f_000037
/data/data/####/f_000038
/data/data/####/f_000039
/data/data/####/getui_sp.xml
/data/data/####/index
/data/data/####/libjiagu-1314127235.so
/data/data/####/local_crash_lock
/data/data/####/multidex.version.xml
/data/data/####/native_record_lock
/data/data/####/security_info
/data/data/####/tray.db-journal
/data/data/####/ua.db
/data/data/####/ua.db-journal
/data/data/####/umeng_general_config.xml
/data/data/####/umeng_it.cache
/data/data/####/webview.db-journal
/data/data/####/webviewCookiesChromium.db-journal

Другие:

Запускает следующие shell-скрипты:

/system/bin/sh -c getprop
/system/bin/sh -c type su
chmod 755 <Package Folder>/.jiagu/libjiagu-1314127235.so

Загружает динамические библиотеки:

Bugly
libjiagu-1314127235

Использует следующие алгоритмы для шифрования данных:

AES-CBC-PKCS5Padding
AES-CBC-PKCS7Padding
AES-GCM-NoPadding
RSA-ECB-PKCS1Padding

Использует следующие алгоритмы для расшифровки данных:

AES-GCM-NoPadding

Использует специальную библиотеку для скрытия исполняемого байткода.

Осуществляет доступ к информации о геолокации.

Осуществляет доступ к информации о сети.

Осуществляет доступ к информации о телефоне (номер, imei и тд.).

Отрисовывает собственные окна поверх других приложений.

Демо бесплатно на 14 дней

Выдаётся при установке

Скачать с сайта

Скачать с Google Play

Поздравляем! Обменяйте их на скидку до 50% на покупку Dr.Web.

Получить скидку

Скачайте
Dr.Web для Android

Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через
AppGallery/Google Pay

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней