Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) ti####.c####.l####.####.com:80
- TCP(HTTP/1.1) c-h####.g####.com:80
- TCP(HTTP/1.1) l####.tbs.qq.com:80
- TCP(HTTP/1.1) t####.c####.q####.####.com:80
- TCP(HTTP/1.1) a.appj####.com:80
- TCP(HTTP/1.1) oss.newairc####.com:80
- TCP(HTTP/1.1) sdk.o####.p####.####.com:80
- TCP(HTTP/1.1) h5.newairc####.com:80
- TCP(TLS/1.0) oss.newairc####.com:443
- TCP(TLS/1.0) h5.newairc####.com:443
- TCP sdk.o####.t####.####.com:5224
- TCP c####.g####.ig####.com:5227
Запросы DNS:
- 7j####.c####.z0.####.com
- a.appj####.com
- c####.g####.ig####.com
- c-h####.g####.com
- h5.newairc####.com
- img.newairc####.com
- l####.tbs.qq.com
- oss.newairc####.com
- sdk.c####.ig####.com
- sdk.o####.i####.####.com
- sdk.o####.p####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
Запросы HTTP GET:
- h5.newairc####.com/api/getArticleAdv?sid=####&cid=####&_v=####
- h5.newairc####.com/api/getComments?sid=####&rootID=####&sourceType=####&...
- oss.newairc####.com/xjdcb/article/201809/04/c4429900.json
- oss.newairc####.com/xjdcb/pic/201607/14/3a1f3fb8-2a51-43dd-9953-5ccbd3c2...
- oss.newairc####.com/xjdcb/pic/201608/24/4f70741d-5a70-4a42-8802-f0e716da...
- oss.newairc####.com/xjdcb/pic/201704/27/35a43a14-181a-4348-b01b-a34718ab...
- oss.newairc####.com/xjdcb/pic/201809/02/455b6a7c-ab25-43a0-a2cb-efb6e0dc...
- oss.newairc####.com/xjdcb/pic/201809/04/61276c5c-c0f5-41a1-9f02-fd41447a...
- t####.c####.q####.####.com/tdata_SzD730
- t####.c####.q####.####.com/tdata_ZCi456
- ti####.c####.l####.####.com/config/hz-hzv3.conf
Запросы HTTP POST:
- a.appj####.com/ad-service/ad/mark
- c-h####.g####.com/api.php?format=####&t=####
- h5.newairc####.com/api/event
- l####.tbs.qq.com/ajax?c=####&k=####
- sdk.o####.p####.####.com/api.php?format=####&t=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/-1005311399
- /data/data/####/-1312716470
- /data/data/####/-136756803
- /data/data/####/-1383848037
- /data/data/####/-1383877830
- /data/data/####/-1383912209
- /data/data/####/-1383969925
- /data/data/####/-1384063173
- /data/data/####/-1384091950
- /data/data/####/-1384091978
- /data/data/####/-1384094023
- /data/data/####/-16307274
- /data/data/####/-1734947564
- /data/data/####/-683837316
- /data/data/####/-832968332
- /data/data/####/.jg.ic
- /data/data/####/.log.lock
- /data/data/####/.log.ls
- /data/data/####/1172930882
- /data/data/####/1189004596
- /data/data/####/1389023919
- /data/data/####/1555877030
- /data/data/####/1695857311
- /data/data/####/1804878421
- /data/data/####/2014083115
- /data/data/####/337525857
- /data/data/####/386967948
- /data/data/####/4429900_article.js
- /data/data/####/49
- /data/data/####/492021377
- /data/data/####/526822976
- /data/data/####/722428904
- /data/data/####/781484701
- /data/data/####/FZLTXHK-GBK_YS.ttf
- /data/data/####/amazeui.min.css
- /data/data/####/amazeui.min.js
- /data/data/####/angular1.4.6.min.js
- /data/data/####/article.js
- /data/data/####/base.css
- /data/data/####/btn_pause.png
- /data/data/####/btn_play.png
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/columnId.xml
- /data/data/####/core_info
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/db_founder0-journal
- /data/data/####/debug.conf
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/file__0.localstorage-journal
- /data/data/####/fontawesome-webfont.ttf
- /data/data/####/gdaemon_20161017
- /data/data/####/great_button.png
- /data/data/####/great_cancel_button.png
- /data/data/####/gx_sp.xml
- /data/data/####/helpMsg.xml
- /data/data/####/icon-images.png
- /data/data/####/icon_audio_play.png
- /data/data/####/icon_file.png
- /data/data/####/icon_file_down.png
- /data/data/####/icon_meta_voice.png
- /data/data/####/icon_selector_normal.png
- /data/data/####/icon_selector_press.png
- /data/data/####/increment.db-journal
- /data/data/####/index
- /data/data/####/init.pid
- /data/data/####/init_c1.pid
- /data/data/####/jg_app_update_settings_random.xml
- /data/data/####/jquery.min2.2.0.js
- /data/data/####/js.combine.min.js
- /data/data/####/libjiagu.so
- /data/data/####/loading.png
- /data/data/####/mobclick_agent_cached_com.founder.chenbaoxinjiang16
- /data/data/####/news_detail.html
- /data/data/####/play.png
- /data/data/####/push.pid
- /data/data/####/pushext.db-journal
- /data/data/####/pushg.db-journal
- /data/data/####/pushsdk.db-journal
- /data/data/####/reader.db-journal
- /data/data/####/run.pid
- /data/data/####/sanjiaoxing.png
- /data/data/####/tbs_download_config.xml
- /data/data/####/tbs_download_stat.xml
- /data/data/####/tbscoreinstall.txt
- /data/data/####/tbslock.txt
- /data/data/####/tdata_SzD730
- /data/data/####/tdata_SzD730.jar
- /data/data/####/tdata_ZCi456
- /data/data/####/tdata_ZCi456.jar
- /data/data/####/umeng_general_config.xml
- /data/data/####/video.png
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/002db1654902014efd4f09d308bf6d524d482c84c1770a....0.tmp
- /data/media/####/03a997a3bb5f64faae919b8e899dd4a0b32ca7a17a6160....0.tmp
- /data/media/####/0403a7e669576cbc38825212087f89fca5473f4ce35a34....0.tmp
- /data/media/####/043895dba62f08386bef84541f50d71d5bf00e75cb1cd0....0.tmp
- /data/media/####/0469a27476aecd70dd55d369a88023f7858cc5e1fd2442....0.tmp
- /data/media/####/09e71c359fb2f15050178173f3931e92f616dbb17fb6d1....0.tmp
- /data/media/####/0acc2e2676610bb430d7fd763cb4542def3b4f294cf37e....0.tmp
- /data/media/####/0bf35556dc8a3fa408d105bd91e457a45df7851e240a6c....0.tmp
- /data/media/####/0f120e5613dcc832b5456751863a3a202682fbe30c91d7....0.tmp
- /data/media/####/1057f14725ad98a86987f836a0cdaf9f26d08fcd57d23c....0.tmp
- /data/media/####/16ff0c7a9f1a9f3a57b1a9c880a668431fc2a9d3a5fe18....0.tmp
- /data/media/####/172b404e591b28a39009187feef414c87c29c4baed81b7....0.tmp
- /data/media/####/1a0ae566740614fb8e56995f5331f9d36f9059d574f6e4....0.tmp
- /data/media/####/1ce6ce8979e1e5e97b7976b3fe2580dd2573df53df929a....0.tmp
- /data/media/####/1efba98aa41540b054d0b3d9fe80464181eddda0bfd855....0.tmp
- /data/media/####/20d6daf99007a7e6d0e8701e8cfa02dd67602e0935e9f6....0.tmp
- /data/media/####/218cf934d48206754e354311d226933c53dffbb9efb34c....0.tmp
- /data/media/####/275971f8bb1285f3ef643f1b826c39d6c77b68888058eb....0.tmp
- /data/media/####/2b504f28873b696f5a5731996e4f0acb5f9eebb8358bec....0.tmp
- /data/media/####/2ccfc8ea147d11d76e737c7508dcb55667a90161be7cea....0.tmp
- /data/media/####/36c12f95b0ecdb84e4852266e5b4e99121dc227f8624f1....0.tmp
- /data/media/####/38f9f66d379758948dc0bf5c71e659565c912790631d11....0.tmp
- /data/media/####/3b9771070b5366db626b9fd4ace0a8d1ecb4e6b90210d0....0.tmp
- /data/media/####/3f3576d859f3a1ef9bfe0f1dcf35416f7c81c3c0c9a5c7....0.tmp
- /data/media/####/457ec397cd9d40e2c8b97226d126ca33feed566ba0ddf2....0.tmp
- /data/media/####/49ab14f6c7919ab1a625111d75c7dfdbc6eea381771998....0.tmp
- /data/media/####/4b63efd3c684d5cdc90bbef70c1deb226f9102fc5b3ca9....0.tmp
- /data/media/####/5499beab3385f1bb0ce1de5ccf9d03440b2c4307e10789....0.tmp
- /data/media/####/5a39c7c113a9216680781b49e6eb8a6fda62e0b2f2a00b....0.tmp
- /data/media/####/5da2b4e9bcdfc9143074615f76a59f81b105810ed412ad....0.tmp
- /data/media/####/5dbfac6ccf43544a133dfaabb6aaa976b2bf0f38f70a40....0.tmp
- /data/media/####/5ed86e506c105d5a3c5f6ba57501ce6e81bb9f0025a06d....0.tmp
- /data/media/####/5fda769cbfd0736702f26dce5e5305e0255f2316aac388....0.tmp
- /data/media/####/61b475d65deede8d40355b0a13c3f66951c0014708c1ce....0.tmp
- /data/media/####/64588448672c907b19473683ea6331d92c4e19b75a706a....0.tmp
- /data/media/####/695e4e27b9b3cd8ac305db7e531ff71c5b0539c2d55454....0.tmp
- /data/media/####/69bece0ab1c8981df9a2705a3834347cf3e495c6b10412....0.tmp
- /data/media/####/703b54eb28b006c466d67c91ef5f4109a777ef372a942d....0.tmp
- /data/media/####/7d1d65093b44c88b8410c78e7bb9a2014ac53b1152178a....0.tmp
- /data/media/####/7e1850cec6cceb803640007871ab950cd10c9f097365d2....0.tmp
- /data/media/####/80f8f79991df9c5807fe5d095f9527a7ce9e6fc6c691c9....0.tmp
- /data/media/####/825064be72ae3cfdec87e9e2eb6d4d53bd23e86909fa5c....0.tmp
- /data/media/####/834e8d24d7c6d1f53097134616b3287969cbb159165805....0.tmp
- /data/media/####/83c47a49c9502d69ca40bc3ea77db549addc8c9d6532eb....0.tmp
- /data/media/####/8ad29c1ee61c3c308f2488c1642c80980525b1f5795fe6....0.tmp
- /data/media/####/8b8f0fc5f5deebcacfdc9f60645ef5d3e47aadf7909330....0.tmp
- /data/media/####/90d926fecad50748e870a655ba0253702e59ef464272a6....0.tmp
- /data/media/####/9185192b48fac07e1f7499bf7e4c3e5ecc9a819d62ac07....0.tmp
- /data/media/####/92f5682bbcf843fb1a3d9773dcf822ca2240fc622cf4bd....0.tmp
- /data/media/####/97edae31910e20b7a76c2a525ff9cfd39a1c2267230720....0.tmp
- /data/media/####/9c16ea9bebc7511ca5ec127a2188c434ee7080283e1b65....0.tmp
- /data/media/####/9debc7c6afaddbbec3a1bc07d276eb6e416a45f6e664f9....0.tmp
- /data/media/####/a546c01cb5d0bf33d4940e8025bc7c3073d88a4946ce84....0.tmp
- /data/media/####/a7013dbb124bb988ea4e612b3d5175fe37360cde12ce06....0.tmp
- /data/media/####/aaf2d54ef270612a32fedae7a3f6a30e1202cf275ee47f....0.tmp
- /data/media/####/ab5d003b8b54305a168f2f33281124db38894efd962676....0.tmp
- /data/media/####/af7a4aae9d46b0b943c07adf1d2a00af3c3a15b951909d....0.tmp
- /data/media/####/app.db
- /data/media/####/b0e996636324ca0cdf4aea9328e2b6d733e876a86a76dc....0.tmp
- /data/media/####/b1b3cbc6c3ee505ad8e6b7d98ebf211e24538af80e62e1....0.tmp
- /data/media/####/b68b52f0a1cba6b34696e749cd408f13e4282d7a96c6de....0.tmp
- /data/media/####/b879e5632281adff39220bde449ee56210eee0b01b217e....0.tmp
- /data/media/####/bbca1dcf2bf3429951398352cbd263df87a693108b9145....0.tmp
- /data/media/####/bbda7a74ec5277b72f6d89ac3f8bfbafd8e5bbbcad65d2....0.tmp
- /data/media/####/bdf4c66365de06d505532467cf8f86249ac806ebe54871....0.tmp
- /data/media/####/c1017282b6175e3e7a5c2558bfe65f356c057eaf42aa55....0.tmp
- /data/media/####/c4e9b85d70acde3a21ba2b0fa353c0e271e25ed49d43bc....0.tmp
- /data/media/####/c562dd860f04020d42eaf0860eada05d462ee0fd82853a....0.tmp
- /data/media/####/ce072ba5f38a1477d9a8cc033f78f53a3700e9ad1020dd....0.tmp
- /data/media/####/com.founder.chenbaoxinjiang.db
- /data/media/####/com.getui.sdk.deviceId.db
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/d5ad1b26a1351ab328e4846618ec0705c9fd5078e61205....0.tmp
- /data/media/####/d91e9efdf016b8ed321309de1e592393a5995b3d5599ea....0.tmp
- /data/media/####/da167e04e9f737b6acf33696c43a5911967f455e19c6e5....0.tmp
- /data/media/####/da349806e23f53b37c3070929d311e309c9ab5c3ccb39e....0.tmp
- /data/media/####/e253e4f6fc232f19788c09abcc32dbafc3853b321b6ed0....0.tmp
- /data/media/####/eb463f452c1a063a99c5ff86f05be43a2a6a1b239c2442....0.tmp
- /data/media/####/f020e6f3a50a6595781ab823a1ebd0934032179ef24556....0.tmp
- /data/media/####/fb167773d7c8cf1aa8c60f7ec84d6b12f12d2dcc48d401....0.tmp
- /data/media/####/journal.tmp
- /data/media/####/localTemplate.zip
- /data/media/####/tdata_SzD730
- /data/media/####/tdata_ZCi456
- /data/media/####/test.log
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/files/gdaemon_20161017 0 <Package>/com.igexin.sdk.PushService 25742 300 0
- chmod 700 <Package Folder>/files/gdaemon_20161017
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- getprop ro.product.cpu.abi
- sh <Package Folder>/files/gdaemon_20161017 0 <Package>/com.igexin.sdk.PushService 25742 300 0
Загружает динамические библиотеки:
- getuiext2
- libjiagu
Использует следующие алгоритмы для шифрования данных:
- RSA-ECB-NoPadding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
