Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) ti####.c####.l####.####.com:80
- TCP(HTTP/1.1) norma-e####.m####.com:80
- TCP(HTTP/1.1) t####.c####.q####.####.com:80
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(HTTP/1.1) sdk.o####.p####.####.com:80
- TCP(HTTP/1.1) pus####.b0.a####.com:80
- TCP(HTTP/1.1) c-h####.g####.com:80
- TCP(HTTP/1.1) aexcep####.b####.qq.com:8012
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) thi####.q####.cn:80
- TCP(TLS/1.0) 1####.217.17.46:443
- TCP(TLS/1.0) loc.map.b####.com:443
- TCP(TLS/1.0) pus####.b0.a####.com:443
- TCP(TLS/1.0) s####.tc.qq.com:443
- TCP(TLS/1.0) c####.m####.cn:443
- TCP(TLS/1.0) mp.we####.qq.com:443
- TCP(TLS/1.0) api.map.b####.com:443
- TCP(TLS/1.0) mw####.b0.a####.com:443
- TCP c####.g####.ig####.com:5227
- TCP smarts####.com.cn:5222
- TCP sdk.o####.t####.####.com:5224
Запросы DNS:
- 7j####.c####.z0.####.com
- a####.u####.com
- aexcep####.b####.qq.com
- and####.b####.qq.com
- api.map.b####.com
- c####.g####.ig####.com
- c####.m####.cn
- c-h####.g####.com
- i####.mw####.cn
- loc.map.b####.com
- m.mw####.cn
- mp.we####.qq.com
- norma-e####.m####.com
- o####.map.b####.com
- r####.wx.qq.com
- sdk.c####.ig####.com
- sdk.o####.p####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
- smarts####.com.cn
- thi####.q####.cn
- vector####.b####.com
Запросы HTTP GET:
- norma-e####.m####.com/android/exchange/getpublickey.do
- pus####.b0.a####.com/Files/201501/1913/1421645908170.jpg?ID=####
- pus####.b0.a####.com/Files/201508/1911/1439956463695.jpg?ID=####
- pus####.b0.a####.com/Files/201607/0415/1467616844325.jpg?ID=####
- pus####.b0.a####.com/webpic/201710/2013/59e98aaab9208.jpg!/fwfh/73x54
- t####.c####.q####.####.com/tdata_bca864
- t####.c####.q####.####.com/tdata_fyR930
- thi####.q####.cn/mmopen/Q3auHgzwzM6AraTv9YxpEgLfKibs5q7r6TNUvaQvK2EKerKv...
- ti####.c####.l####.####.com/config/hz-hzv3.conf
Запросы HTTP POST:
- a####.u####.com/app_logs
- aexcep####.b####.qq.com:8012/rqd/async?aid=####
- and####.b####.qq.com/rqd/async?aid=####
- c-h####.g####.com/api.php?format=####&t=####
- norma-e####.m####.com/push/android/external/add.do
- sdk.o####.p####.####.com/api.php?format=####&t=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/1002
- /data/data/####/1004
- /data/data/####/5ba3a9bf422e0.zip.download
- /data/data/####/BD_report.db
- /data/data/####/BD_report.db-journal
- /data/data/####/BUGLY_COMMON_VALUES.xml
- /data/data/####/CustomIndex
- /data/data/####/DVDirectory.cfg
- /data/data/####/DVHotMap.cfg
- /data/data/####/DVHotcity.cfg
- /data/data/####/DVIndoor.cfg
- /data/data/####/DVSDirectory.cfg
- /data/data/####/DVVersion.cfg
- /data/data/####/MultiDex.lock
- /data/data/####/ResPackIndoorMap.rs
- /data/data/####/authStatus_com.puscene.client.xml
- /data/data/####/authStatus_com.puscene.client;remote.xml
- /data/data/####/baseindoormap.sty
- /data/data/####/bugly_db_-journal
- /data/data/####/bus.sty
- /data/data/####/car.sty
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/com.puscene.client.BETA_VALUES.xml
- /data/data/####/com.puscene.client.BETA_VALUES.xml.bak
- /data/data/####/com.x.y.1.xml
- /data/data/####/com.x.y.2.xml
- /data/data/####/crashrecord.xml
- /data/data/####/cycle.sty
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/default.png
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/f_000001
- /data/data/####/firll.dat
- /data/data/####/gal.db
- /data/data/####/gal.db-journal
- /data/data/####/gdaemon_20161017
- /data/data/####/getui_sp.xml
- /data/data/####/gx_sp.xml
- /data/data/####/hst.db
- /data/data/####/hst.db-journal
- /data/data/####/index
- /data/data/####/init.pid
- /data/data/####/init_c1.pid
- /data/data/####/libcuid.so
- /data/data/####/libjiagu-1271489437.so
- /data/data/####/local_crash_lock
- /data/data/####/map.rs
- /data/data/####/map.sty
- /data/data/####/map_pref.xml
- /data/data/####/multidex.version.xml
- /data/data/####/native_record_lock
- /data/data/####/netWork.sp.xml
- /data/data/####/nowaitOpen.xml
- /data/data/####/ofl.config
- /data/data/####/ofl_location.db
- /data/data/####/ofl_location.db-journal
- /data/data/####/ofl_statistics.db
- /data/data/####/ofl_statistics.db-journal
- /data/data/####/push.pid
- /data/data/####/pushext.db-journal
- /data/data/####/pushg.db-journal
- /data/data/####/pushsdk.db-journal
- /data/data/####/reduct.rs
- /data/data/####/reduct.sty
- /data/data/####/run.pid
- /data/data/####/scroll.gif
- /data/data/####/scroll.png
- /data/data/####/security_info
- /data/data/####/selected.gif
- /data/data/####/selected.png
- /data/data/####/sp_device.xml
- /data/data/####/tabbar_data.sp.xml
- /data/data/####/tdata_bca864
- /data/data/####/tdata_bca864.jar
- /data/data/####/tdata_fyR930
- /data/data/####/tdata_fyR930.jar
- /data/data/####/traffic.rs
- /data/data/####/traffic.sty
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/ver.dat
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/xmpp_connect.xml
- /data/media/####/.cuid
- /data/media/####/.cuid2
- /data/media/####/.nomedia
- /data/media/####/06b52ff22d2225a1f8fc62e42f1608a53da81c126eeee2...6eed.0
- /data/media/####/138da71df1f5a70e3a37df5a91b6e36ffade11d421f260....0.tmp
- /data/media/####/19d89fcf7c3dba22f0d75e8de81d34e38bbcb06e7647f0....0.tmp
- /data/media/####/1f94a2108632629ed521ad748ca3d5360e1ce155af1e72....0.tmp
- /data/media/####/2018-09-20.log.txt
- /data/media/####/258home_activity_element.cache
- /data/media/####/258home_banner.cache
- /data/media/####/258home_cook_style_element_node.cache
- /data/media/####/258home_hot_shop_element_node.cache
- /data/media/####/258home_shop_type_element_node.cache
- /data/media/####/285aa7bdc06773dd1b8886884ea88d78cc0312d7acc79e....0.tmp
- /data/media/####/2ad24932c80520413601604e0c7732b6a47e64b7c52c57....0.tmp
- /data/media/####/2c7a4280d287896c68d901494187e57c5dc2e6043c6d9a....0.tmp
- /data/media/####/2dc856f0c811da366d1a67a517647c3860b7ad8780ce1b....0.tmp
- /data/media/####/2e5f2e39e92ae44363361f012875f84f14eaff51131eed....0.tmp
- /data/media/####/3201f0fbf7ed7b222c1a19f72e3bbcb58954ba0136f567....0.tmp
- /data/media/####/34ef4427ae5adc1b7826591c210c5f93baa56c1df6f05f....0.tmp
- /data/media/####/3c3bca8383371f76f8958e56e5461e961b14dac7de7e23....0.tmp
- /data/media/####/3d38ce6fa0e76e6dac18643476212e72f08e99275ed8f8....0.tmp
- /data/media/####/4135a0c05a9e93e4803b2250448065cec9657c3b6a75e0....0.tmp
- /data/media/####/41bad4ae5fd2d103d52e8778678a3ecb3e0ae6c824f109....0.tmp
- /data/media/####/456d663b2665098084e5e69d3903fdef27be1c8d248a66....0.tmp
- /data/media/####/4ccae98d0ea3069fad44331dedf3666a7cbd172b0af9f5....0.tmp
- /data/media/####/4e5c375398d73afb2f875afce02b8ded96043439aab0d4....0.tmp
- /data/media/####/52196503a59d17367fb573d4e0a70dd464083ed4207499....0.tmp
- /data/media/####/5830ff3d2e55aa625632aed64767656ad20b7783267cf3....0.tmp
- /data/media/####/5cc3400d9dad7cc3b0e3d11195f87c7d231f807660442c....0.tmp
- /data/media/####/6051e7c12853f14a5e65df18acb41a0e927caea32009ef....0.tmp
- /data/media/####/6b59406fe6a519511781516c97c8c0b423f6bbf8d83d47....0.tmp
- /data/media/####/70f46d725a31caee5aa36256494c7680b04f83617ec6d3....0.tmp
- /data/media/####/7f7e835e1f32b771794a740773501e8a3f45055342ba66....0.tmp
- /data/media/####/802774d24e27edcca5bc6bcac4c7e3727385cade7fadd4....0.tmp
- /data/media/####/80df250abd9be9c55f183773aa749f3a859baa9b99e372....0.tmp
- /data/media/####/81bca0aa57d50cb2df7852a5f1fbfa5a4e4aee6740a80c....0.tmp
- /data/media/####/8814b29ad7316a4381f71677ad6eba5c0f66036fa5d302....0.tmp
- /data/media/####/8d4ac029c4a9791f44ae28b3f933f68fefc1225a17bb3c....0.tmp
- /data/media/####/8e3368618f0440bc7e1e25ae1282c2c27ef5d5a0109b30....0.tmp
- /data/media/####/91eed82e894171f47dc1eeb9fd7517996bab248833a5ab....0.tmp
- /data/media/####/923ba41020f6b673e3b32a5a625d18903b775c3efe070f....0.tmp
- /data/media/####/992ac9337e4c2b26f2ede2ce985535635989a39c358528....0.tmp
- /data/media/####/9b3454a179fbbca79e78d63d3a6fe0890f7d09bc23b2b3....0.tmp
- /data/media/####/9ef4ebb0be9aa1a4c074cc49f73ec3679cbf76ad0fd1ab....0.tmp
- /data/media/####/DTTempdat.dat
- /data/media/####/DTTempdat.idx
- /data/media/####/a4ee3fd63252b2b20758d691e6d9ce44f829280d6ad59b....0.tmp
- /data/media/####/a4f3fe1a775d1ac761191ad053753f109e575092928fc9....0.tmp
- /data/media/####/a6b7d9d058a85f55ed8fb6f0c3ae686284309e641508a4....0.tmp
- /data/media/####/af1777982a10f22699f1c05e6ea9834bcbdc70324113c4....0.tmp
- /data/media/####/afa4725904b479318672782512c7be255a55f7ddf725b9....0.tmp
- /data/media/####/app.db
- /data/media/####/app.getfiltercontent258shopsearchresult.v2
- /data/media/####/app.getsearchfilter
- /data/media/####/appStart_258.cache
- /data/media/####/b128233a42ae556248e0f102d2e005937728fe2e55ac37....0.tmp
- /data/media/####/b154df099a49d17a0df0cf797ce637e8c6464d35659c2f....0.tmp
- /data/media/####/b908e6725ddc44094b6cfa220a0f5f3a44cfe02efc229d....0.tmp
- /data/media/####/baeabe6dabac17f30eeed21eb5c5f3ec640da10fae74c0....0.tmp
- /data/media/####/c3fb51952dd98b9fbca49ff1936b16b1f03f485717346e....0.tmp
- /data/media/####/c78c62758212682e9f3278957b2df109591445d237130f....0.tmp
- /data/media/####/ca107512ee57ac9bc95b24340b5efc8470fcdfcf7de123....0.tmp
- /data/media/####/ce0ecb6c0a8484bdd237f1a80c3907e96d10607079eceb....0.tmp
- /data/media/####/com.getui.sdk.deviceId.db
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/com.puscene.client.bin
- /data/media/####/com.puscene.client.db
- /data/media/####/conlts.dat
- /data/media/####/currentCity
- /data/media/####/d85f8eaa3fd09e1ffccd40f6d60f978f046580733260e3....0.tmp
- /data/media/####/d8ef393ee51257b14bcd9b7fb5a7bc0e1bbbeca27032bc....0.tmp
- /data/media/####/dadb1f8ed17ae3a32fd647bbe914d494c0ba018a609b5d...1363.0
- /data/media/####/df3406a2747bc06e944bd0f064e2e414e3d68fd9665824....0.tmp
- /data/media/####/e73c75d9d4d0e44a4c9f18e04d2ce98ec295a163ffb75b....0.tmp
- /data/media/####/ebb06275aa0e343d358be29aab3f1bb53ba5a719490357....0.tmp
- /data/media/####/f149392858a0630c136d984ed38c64b1796b4a682991bc....0.tmp
- /data/media/####/f554b948db151a760d9cdafe85e4d42e50d9a27fef8e3a....0.tmp
- /data/media/####/f90f532b939078e119292ed814febe0c6731818698d46d....0.tmp
- /data/media/####/faea4e499af3c97409365fe4f49dfaeb626d0ce4d821af....0.tmp
- /data/media/####/fe11fbc3eb29de4604350ecc65926235a30d8c2ba025ac....0.tmp
- /data/media/####/ff0e5da895f495a8e835a528c97446bde5a1901582b347....0.tmp
- /data/media/####/ff8de42e7292e0fc7a7aa7e8d46e2567da55847797d6c9....0.tmp
- /data/media/####/getui_client_id.cachekey
- /data/media/####/home_groups_258_V2.cache
- /data/media/####/journal
- /data/media/####/journal.tmp
- /data/media/####/localCity
- /data/media/####/ls.db
- /data/media/####/ls.db-journal
- /data/media/####/recentShop.cache
- /data/media/####/tdata_bca864
- /data/media/####/tdata_fyR930
- /data/media/####/test.0
- /data/media/####/test.log
- /data/media/####/userceter_258.cache
- /data/media/####/uuid.mw
- /data/media/####/vip_controller_cache
- /data/media/####/yoh.dat
- /data/media/####/yol.dat
- /data/media/####/yom.dat
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop
- <Package Folder>/files/gdaemon_20161017 0 <Package>/<Package>.xmpp.getui.GTPushService 24805 300 0
- chmod 700 <Package Folder>/files/gdaemon_20161017
- chmod 755 <Package Folder>/.jiagu/libjiagu-1271489437.so
- getprop
- getprop ro.build.version.emui
- getprop ro.build.version.opporom
- getprop ro.miui.ui.version.name
- getprop ro.smartisan.version
- getprop ro.vivo.os.version
- logcat -d -v threadtime
Загружает динамические библиотеки:
- BaiduMapSDK_base_v4_5_0
- BaiduMapSDK_map_v4_5_0
- Bugly
- getuiext3
- libjiagu-1271489437
- locSDK7a
- pl_droidsonroids_gif
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-GCM-NoPadding
- RSA-ECB-PKCS1Padding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-GCM-NoPadding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
