Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) c-h####.g####.com:80
- TCP(HTTP/1.1) com####.f####.com:80
- TCP(HTTP/1.1) ti####.c####.l####.####.com:80
- TCP(HTTP/1.1) m.d####.mob.com:80
- TCP(HTTP/1.1) a####.exc.mob.com:80
- TCP(HTTP/1.1) t####.c####.q####.####.com:80
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(HTTP/1.1) c.d####.mob.com:80
- TCP(HTTP/1.1) 61.55.1####.26:8088
- TCP(HTTP/1.1) f####.f####.com:80
- TCP(HTTP/1.1) api.s####.mob.com:80
- TCP(HTTP/1.1) img.f####.com.####.net:80
- TCP(HTTP/1.1) sdk.o####.p####.####.com:80
- TCP(HTTP/1.1) 61.55.1####.34:8088
- TCP(HTTP/1.1) 2####.192.139.100:8088
- TCP c####.g####.ig####.com:5227
- TCP sdk.o####.t####.####.com:5224
Запросы DNS:
- 7j####.c####.z0.####.com
- a####.exc.mob.com
- and####.b####.qq.com
- api.s####.mob.com
- c####.g####.ig####.com
- c-h####.g####.com
- c.d####.mob.com
- com####.f####.com
- f####.f####.com
- img.f####.com
- m.d####.mob.com
- sdk.c####.ig####.com
- sdk.o####.p####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
Запросы HTTP GET:
- com####.f####.com/xml/xml4android.aspx?ObjectType=####&ObjectSN=####&pag...
- f####.f####.com/Flux4AdData.aspx?id=####
- f####.f####.com/MFXSDQ
- img.f####.com.####.net/Novel/166x235/0/154/000154521.jpg
- img.f####.com.####.net/Novel/166x235/0/170/000170963.jpg
- img.f####.com.####.net/Novel/166x235/0/175/000175984.jpg
- img.f####.com.####.net/Novel/166x235/0/177/000177353.jpg
- img.f####.com.####.net/Novel/166x235/0/184/000184169.jpg
- img.f####.com.####.net/Novel/166x235/0/193/000193215.jpg
- img.f####.com.####.net/Novel/166x235/0/193/000193885.jpg
- img.f####.com.####.net/Novel/166x235/0/194/000194359.jpg
- img.f####.com.####.net/Novel/166x235/0/195/000195864.jpg
- img.f####.com.####.net/Novel/166x235/0/201/000201531.jpg
- img.f####.com.####.net/Novel/166x235/0/202/000202892.jpg
- img.f####.com.####.net/Novel/166x235/0/204/000204669.jpg
- img.f####.com.####.net/Novel/166x235/0/205/000205322.jpg
- img.f####.com.####.net/Novel/166x235/0/208/000208537.jpg
- img.f####.com.####.net/Novel/166x235/0/210/000210158.jpg
- img.f####.com.####.net/Novel/166x235/0/210/000210220.jpg
- img.f####.com.####.net/Novel/166x235/0/210/000210330.jpg
- img.f####.com.####.net/Novel/166x235/0/213/000213122.jpg
- img.f####.com.####.net/Novel/166x235/0/213/000213542.jpg
- img.f####.com.####.net/Novel/166x235/0/213/000213765.jpg
- img.f####.com.####.net/Novel/166x235/0/214/000214945.jpg
- img.f####.com.####.net/Novel/166x235/0/216/000216005.jpg
- img.f####.com.####.net/Novel/166x235/0/216/000216022.jpg
- img.f####.com.####.net/Novel/166x235/0/216/000216038.jpg
- img.f####.com.####.net/Novel/166x235/0/216/000216080.jpg
- img.f####.com.####.net/Novel/166x235/0/216/000216378.jpg
- img.f####.com.####.net/Novel/166x235/0/216/000216406.jpg
- img.f####.com.####.net/Novel/166x235/0/216/000216606.jpg
- img.f####.com.####.net/Novel/166x235/0/216/000216839.jpg
- img.f####.com.####.net/Novel/166x235/0/217/000217020.jpg
- img.f####.com.####.net/Novel/166x235/0/217/000217060.jpg
- img.f####.com.####.net/Novel/166x235/0/217/000217074.jpg
- img.f####.com.####.net/Novel/166x235/0/217/000217160.jpg
- img.f####.com.####.net/Novel/166x235/0/217/000217574.jpg
- img.f####.com.####.net/Novel/166x235/0/217/000217584.jpg
- img.f####.com.####.net/Novel/166x235/0/217/000217605.jpg
- img.f####.com.####.net/Novel/166x235/0/218/000218778.jpg
- img.f####.com.####.net/Novel/166x235/0/219/000219642.jpg
- img.f####.com.####.net/Novel/166x235/0/219/000219665.jpg
- img.f####.com.####.net/Novel/166x235/0/219/000219742.jpg
- img.f####.com.####.net/Novel/166x235/0/219/000219794.jpg
- img.f####.com.####.net/Novel/166x235/0/220/000220153.jpg
- img.f####.com.####.net/Novel/166x235/0/220/000220410.jpg
- img.f####.com.####.net/Novel/166x235/0/220/000220425.jpg
- img.f####.com.####.net/Novel/166x235/0/220/000220667.jpg
- img.f####.com.####.net/hpic/2018/8/11/d3b7e7e8-fd1f-4002-b134-f26333b0a3...
- img.f####.com.####.net/hpic/2018/8/21/05c153cd-a87d-490d-9eb6-1da6d6809e...
- img.f####.com.####.net/hpic/2018/8/21/3224c9f4-9ae9-4040-b6f4-e94b29ab72...
- img.f####.com.####.net/hpic/2018/8/21/918b48e9-070e-45f4-88bb-a13421af30...
- img.f####.com.####.net/ou/2018/20180904102153.jpg
- m.d####.mob.com/v4/cconf?appkey=####&plat=####&apppkg=####&appver=####&n...
- t####.c####.q####.####.com/tdata_SzD730
- t####.c####.q####.####.com/tdata_ZCi456
- ti####.c####.l####.####.com/config/hz-hzv3.conf
Запросы HTTP POST:
- a####.exc.mob.com/errconf
- and####.b####.qq.com/rqd/async?aid=####
- api.s####.mob.com/conf5
- api.s####.mob.com/conn
- api.s####.mob.com/log4
- api.s####.mob.com/snsconf
- c-h####.g####.com/api.php?format=####&t=####
- c.d####.mob.com/v3/cdata
- sdk.o####.p####.####.com/api.php?format=####&t=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/-1679780861
- /data/data/####/-297331408
- /data/data/####/-714905076
- /data/data/####/.duid
- /data/data/####/.jg.ic
- /data/data/####/.lock
- /data/data/####/.mrecord
- /data/data/####/.mrlock
- /data/data/####/.statistics
- /data/data/####/.vpl_lock
- /data/data/####/1004
- /data/data/####/ThrowalbeLog.db-journal
- /data/data/####/bugly_db_-journal
- /data/data/####/config.xml
- /data/data/####/crashrecord.xml
- /data/data/####/faloodb.db-journal
- /data/data/####/gdaemon_20161017
- /data/data/####/gx_sp.xml
- /data/data/####/init.pid
- /data/data/####/init_c1.pid
- /data/data/####/libjiagu-1635079018.so
- /data/data/####/local_crash_lock
- /data/data/####/mfbook.db
- /data/data/####/mfbook.db-journal
- /data/data/####/mob_commons_1
- /data/data/####/mob_sdk_exception_1
- /data/data/####/native_record_lock
- /data/data/####/okgo.db-journal
- /data/data/####/push.pid
- /data/data/####/pushext.db-journal
- /data/data/####/pushg.db-journal
- /data/data/####/pushsdk.db-journal
- /data/data/####/run.pid
- /data/data/####/security_info
- /data/data/####/share_sdk_1
- /data/data/####/sharesdk.db-journal
- /data/data/####/tdata_SzD730
- /data/data/####/tdata_SzD730.jar
- /data/data/####/tdata_ZCi456
- /data/data/####/tdata_ZCi456.jar
- /data/media/####/.artc_lock
- /data/media/####/.dh-journal
- /data/media/####/.dhlock
- /data/media/####/.di
- /data/media/####/.dic_lock
- /data/media/####/.duid
- /data/media/####/.globalLock
- /data/media/####/.lesd_lock
- /data/media/####/.nomedia
- /data/media/####/.nulplt
- /data/media/####/.pkg_lock
- /data/media/####/.plst
- /data/media/####/.rc_lock
- /data/media/####/.slw
- /data/media/####/028c63181a5846b42d331d37ca40aa502626f72b5c9013....0.tmp
- /data/media/####/08423c69318ec0e7f690a24f57826dfbb158d867d6203b....0.tmp
- /data/media/####/088d3484db88122eef2f09bae5b481a8f3116a4dc01ba2....0.tmp
- /data/media/####/12d0ded215adfe61f8c55eb0c20c6dcd3945d760addab0....0.tmp
- /data/media/####/1427e0984f2a82b1897891fb04f8e2e75bcbbf8575cdbe....0.tmp
- /data/media/####/1b6dae7f8e41b62449b69c9304dfe77c2f6ba6c8b7564e....0.tmp
- /data/media/####/20511e49a506b87695cc824d4fae31c1502a36f9d76b8d....0.tmp
- /data/media/####/219324bfff2aff73be612cca74a3737f892438e27ef07e....0.tmp
- /data/media/####/2252c19a3ff4f4ef673e31729fe1ebbab401f8682a3d7a....0.tmp
- /data/media/####/24e47e56a1cb3a92b6c00f2de8ede9b07a25f2daaeaab2....0.tmp
- /data/media/####/25b10dd1ad6236560442a60b4e62aaa7a34df661ee3697....0.tmp
- /data/media/####/2a9cc89e593473ec1fb5cf44ac73b484103c923f474204....0.tmp
- /data/media/####/31128e78907326cb7e81b6b5a630ffc9e731da02c083a6....0.tmp
- /data/media/####/354f6ba0866ff1905370a342896d706bde14489a7483d7....0.tmp
- /data/media/####/3d8bc69bad6b959d8711f248118d47a67a844327e569b1....0.tmp
- /data/media/####/408e46661ff620df660c9c5b667008ffd31f9f00bc77f7....0.tmp
- /data/media/####/409861a8a95ff06d128cdef855cb7aab251313d019e7c5....0.tmp
- /data/media/####/40af735d15f7ccac23e2b1f6e2ca965b05ce033cc5a4c9....0.tmp
- /data/media/####/4802c06b0635984d7e03dd642bc054c89646580f2fa074....0.tmp
- /data/media/####/49ffb9f79e7e06156c660752d0e37077994b21f583c19c....0.tmp
- /data/media/####/660884cc1aeb8b24b1667424a96b20f6c8cb6330dd8971....0.tmp
- /data/media/####/6c6909462c649b1be25eb912ad1f4da563b0f6fcefa6c4....0.tmp
- /data/media/####/7118f27f122ca7579016c1124f146fed52c982b99dae95....0.tmp
- /data/media/####/7fd677152e4d6b6534717e8c3973511149e202e3a73c56....0.tmp
- /data/media/####/8491aa57c3cf2ff4e67dd6aa879f6647864f34b41c27c6....0.tmp
- /data/media/####/896dea68d1753014e27e692675d250505e2157e03a660d....0.tmp
- /data/media/####/8f35fb3d6ea2dc0fe5dbc2caeb78fd338ee3d486684a9a....0.tmp
- /data/media/####/9208050b98c0a5bb24f20de38c24bb15e0a08dd7d1ee09....0.tmp
- /data/media/####/9c70910fa1e43b2d102171fbebac221a3ab3ff7512f8ab....0.tmp
- /data/media/####/a883b0936bf6131ea700be4037f7cd01743aaa60b3acbf....0.tmp
- /data/media/####/a89a0d6c6a07317a59579c6b4c2516e9b530bae195f2fc....0.tmp
- /data/media/####/aa1d072252b4937e8fd1f6e8c6cf5bcabac4922659b5c0....0.tmp
- /data/media/####/af4d5b27b6ac981018e5db383b8c866b71383431c340d0....0.tmp
- /data/media/####/app.db
- /data/media/####/b7f27a2fecb3f58e93a2dbe8ab931fde0fa90512ee0fde....0.tmp
- /data/media/####/b989aa0ac348d1454745972e227a73d917d0493766ac43....0.tmp
- /data/media/####/bb145745d3c9691c3cd13bf1aab8b10cc483d26f340689....0.tmp
- /data/media/####/bfe5a66827247ab34e43c7ebf98c00d10cc6b0087bc1e4....0.tmp
- /data/media/####/c6844f74594a3edbd346ea825e1dcc2fe1e6087b41185b....0.tmp
- /data/media/####/c77e2449afb16d8041e9a458ebaa32cb3b93b49a2a401f....0.tmp
- /data/media/####/c8b38519665ba3b00c018dff2b354c939c1969f076bd18....0.tmp
- /data/media/####/cb9371e5d3eb5e2508db086eb1e3dca2e8602db0664374....0.tmp
- /data/media/####/com.faloo.MFXSDaquan.db
- /data/media/####/com.getui.sdk.deviceId.db
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/d08f8156f6719e7669ce82fcababda962d28dbc4f29c22....0.tmp
- /data/media/####/d8fa70a5bf5621946a2618f9128c62353505479b5459a1....0.tmp
- /data/media/####/db103428f479cc3ccf4733560b96fa45d83b23c613a444....0.tmp
- /data/media/####/e22ce1e52aff084378ea80030097273a63d20134f4c137....0.tmp
- /data/media/####/e7b49db6adee716624a2da92473537a017221ef55aa260....0.tmp
- /data/media/####/e87d3f93201223a1eb1a125263ffa4b2976295f1407605....0.tmp
- /data/media/####/f9e7b3e85fe29e01f46fe97ab42a490109fa5a579a1b1b....0.tmp
- /data/media/####/fa7d265d03999e8a5e20d5bf64a5be684dc4ca48accb51....0.tmp
- /data/media/####/fed5b4088ee5ce682fc70cd3d4c86a1a03e1f43751755d....0.tmp
- /data/media/####/journal.tmp
- /data/media/####/tdata_SzD730
- /data/media/####/tdata_ZCi456
- /data/media/####/test.log
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop
- /system/bin/sh -c type su
- <Package Folder>/files/gdaemon_20161017 0 <Package>/com.igexin.sdk.PushService 24860 300 0
- chmod 700 <Package Folder>/files/gdaemon_20161017
- chmod 755 <Package Folder>/.jiagu/libjiagu-1635079018.so
- getprop
- grep -E -v root|shell|system
- logcat *:e *:i | grep (2078)
- logcat *:e *:i | grep (2121)
- sh
- sh <Package Folder>/files/gdaemon_20161017 0 <Package>/com.igexin.sdk.PushService 24860 300 0
- top -d 0 -n 1
Загружает динамические библиотеки:
- Bugly
- getuiext2
- libjiagu-1635079018
Использует следующие алгоритмы для шифрования данных:
- AES-ECB-PKCS7Padding
- AES-GCM-NoPadding
- RSA-ECB-PKCS1Padding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-ECB-NoPadding
- AES-GCM-NoPadding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
