Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) hi.hiwe####.net:80
- TCP(HTTP/1.1) m.d####.mob.com:80
- TCP(HTTP/1.1) a####.exc.mob.com:80
- TCP(HTTP/1.1) t####.c####.q####.####.com:80
- TCP(HTTP/1.1) c-h####.g####.com:80
- TCP(HTTP/1.1) sdk.o####.p####.####.com:80
- TCP(TLS/1.0) h####.b####.com:443
- TCP(TLS/1.0) 1####.217.20.78:443
- TCP c####.g####.ig####.com:5224
- TCP sdk.o####.t####.####.com:5224
Запросы DNS:
- 7j####.c####.z0.####.com
- a####.exc.mob.com
- c####.g####.ig####.com
- c-h####.g####.com
- h####.b####.com
- hi.hiwe####.net
- m.d####.mob.com
- pub-####.qin####.com
- sdk.c####.ig####.com
- sdk.o####.p####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
Запросы HTTP GET:
- hi.hiwe####.net/api.php?op=####&id=####&modelid=####
- hi.hiwe####.net/index.php?m=####&c=####&a=####&catid=####&id=####&f_s=####
- hi.hiwe####.net/index.php?m=####&c=####&a=####&size=####&type=####
- hi.hiwe####.net/statics/js/jquery.min.js
- hi.hiwe####.net/uploadfile/2018/0807/20180807083630277.jpg
- hi.hiwe####.net/uploadfile/2018/0807/20180807085324663.jpg
- hi.hiwe####.net/uploadfile/2018/0903/20180903091331333.jpg
- hi.hiwe####.net/uploadfile/2018/0903/20180903094455682.jpg
- hi.hiwe####.net/uploadfile/2018/0909/20180909051602368.jpg
- hi.hiwe####.net/uploadfile/2018/0913/20180913101446551.jpg
- hi.hiwe####.net/uploadfile/2018/0914/20180914103955497.jpg
- hi.hiwe####.net/uploadfile/2018/0919/20180919033347275.jpg
- hi.hiwe####.net/uploadfile/2018/0921/20180921060738199.jpg
- hi.hiwe####.net/uploadfile/2018/0925/20180925052740661.jpg
- hi.hiwe####.net/uploadfile/2018/0925/20180925082320538.png
- hi.hiwe####.net/uploadfile/2018/0926/20180926014920459.jpg
- hi.hiwe####.net/uploadfile/2018/0926/20180926024526130.jpg
- hi.hiwe####.net/uploadfile/2018/0926/20180926065252744.jpg
- hi.hiwe####.net/uploadfile/2018/0927/20180927041808898.jpg
- hi.hiwe####.net/uploadfile/2018/0927/20180927050312582.jpg
- hi.hiwe####.net/uploadfile/2018/0927/20180927055120475.png
- hi.hiwe####.net/uploadfile/2018/0927/20180927055500713.jpg
- hi.hiwe####.net/uploadfile/2018/0928/20180928021237827.jpg
- hi.hiwe####.net/uploadfile/2018/0928/20180928092542413.jpg
- hi.hiwe####.net/uploadfile/2018/0928/20180928103922871.jpg
- hi.hiwe####.net/uploadfile/2018/0928/20180928104244922.jpg
- hi.hiwe####.net/uploadfile/2018/0928/20180928120409968.jpg
- hi.hiwe####.net/uploadfile/2018/0928/20180928121246866.jpg
- hi.hiwe####.net/uploadfile/2018/0929/20180929021744822.jpg
- hi.hiwe####.net/uploadfile/2018/0929/20180929022847563.jpg
- hi.hiwe####.net/uploadfile/2018/0929/20180929033001691.jpg
- hi.hiwe####.net/uploadfile/2018/0929/20180929033032477.jpg
- hi.hiwe####.net/uploadfile/2018/0929/20180929033239160.jpg
- hi.hiwe####.net/uploadfile/2018/0929/20180929033330668.jpg
- hi.hiwe####.net/uploadfile/2018/0929/20180929033424501.jpg
- hi.hiwe####.net/uploadfile/2018/0929/20180929034359157.png
- hi.hiwe####.net/uploadfile/2018/0929/20180929034547644.png
- hi.hiwe####.net/uploadfile/2018/0929/20180929041419769.jpg
- hi.hiwe####.net/uploadfile/2018/0929/20180929043054590.jpg
- hi.hiwe####.net/uploadfile/2018/0929/20180929044218510.jpg
- hi.hiwe####.net/uploadfile/2018/0929/20180929044701290.jpg
- hi.hiwe####.net/uploadfile/2018/0929/20180929093144384.jpg
- hi.hiwe####.net/uploadfile/2018/0929/20180929095715396.jpg
- hi.hiwe####.net/uploadfile/2018/0929/20180929100051203.jpg
- hi.hiwe####.net/uploadfile/2018/0929/20180929100106590.jpg
- hi.hiwe####.net/uploadfile/2018/0929/20180929100126196.jpg
- m.d####.mob.com/v3/cconf?appkey=####&plat=####&apppkg=####&appver=####&n...
- t####.c####.q####.####.com/config/hz-hzv3.conf
- t####.c####.q####.####.com/tdata_EDT356
- t####.c####.q####.####.com/tdata_YYn966
- t####.c####.q####.####.com/tdata_eOt091
Запросы HTTP POST:
- a####.exc.mob.com/errconf
- c-h####.g####.com/api.php?format=####&t=####
- hi.hiwe####.net/index.php?m=####&c=####&a=####
- sdk.o####.p####.####.com/api.php?format=####&t=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/.lock
- /data/data/####/02105af88e6a2cca82155c8088b072f38da395d584ebcce....0.tmp
- /data/data/####/052ce8d507c67d9d7fbd8911ee7310b5e5958fd6ff58873....0.tmp
- /data/data/####/064403d56522b1ff65b9ac8bd71e85309c20dc4e9be2536....0.tmp
- /data/data/####/0739bb53e2c3e8f12f133c8327a1d5946e8840af37e8fe1....0.tmp
- /data/data/####/08082f48545e08d5839c6087a98841239e1a6244ff1e484....0.tmp
- /data/data/####/0b761f026a5d7e7f90e37f533ffb84a1711ff8b571d3aae....0.tmp
- /data/data/####/0c7170150f53ac2ab36a4238db9428216f2e3e7ad6ee0f0....0.tmp
- /data/data/####/0dcea616c1b2b476f2b2311fb1f180447b90c16c57e2dcd....0.tmp
- /data/data/####/0e48b2368758c740dd7a3face9e79d868b0fe2ca5dd6394....0.tmp
- /data/data/####/11ba5b146cd3cccc1b48807764519cdcba463fdc8995c24....0.tmp
- /data/data/####/14be47879786fb818cea4fbacd89e449d87adadca253061....0.tmp
- /data/data/####/186392b0cc4d1e109c894addb2ea713256242a420000165....0.tmp
- /data/data/####/1eff0912c7294f717d36dbf3f47659e0f485dce19955abd....0.tmp
- /data/data/####/20ee708fdb7ceb20706cdb4f86bbdfbfb092841043278f6....0.tmp
- /data/data/####/2289c4e90b9173b6100807bb1620b730bf03424c9d71553....0.tmp
- /data/data/####/25884e7316c2b2aaab56c27502c9e8c11d0396f9351d069....0.tmp
- /data/data/####/2ddab772ca4836548214315e7b361aae1d00b89efc1f8ca....0.tmp
- /data/data/####/2f351b37a38c59e792849a3298271878601a8f09bd1eeb2....0.tmp
- /data/data/####/30f204f113bff4056be06d04c4b843519baa3eeac3a7436....0.tmp
- /data/data/####/3196d66805e895f78ed9f0e36ce3cb0baa936593ed0bb57....0.tmp
- /data/data/####/35ce349540a988222ee9c5cd34aa3b5d9109a954e39f7d3....0.tmp
- /data/data/####/3ed4e88c131b8063582f62ee9fb272d5891735e37fb5791....0.tmp
- /data/data/####/3f3a9bee103f99d6a9e6496b6b940153a70652eb4e3ee61....0.tmp
- /data/data/####/41107bc74de219f235039584a42ace0d575111249a60c67....0.tmp
- /data/data/####/428e74e32383
- /data/data/####/465c559aefec96f371562249f600b320706f56ec23cc218....0.tmp
- /data/data/####/48fb8a5fb56348a20b286da1163ebb0f6b867cdc5286067....0.tmp
- /data/data/####/522f54c73adb621ce16fb9f72249d94ac1c6ce8af52119d....0.tmp
- /data/data/####/59e093a411a72271d298c2ed07a52383f916d8fce641005....0.tmp
- /data/data/####/5a03821ff348bc379bf0a1f83c73cbfb32297ada69a5e91....0.tmp
- /data/data/####/5b059324d50b2bf5fcf14a532e432b6d2157c7632407413....0.tmp
- /data/data/####/5dbe1de2492441dca36e7acf454e0fcc80460a8bd23e59f....0.tmp
- /data/data/####/6047cbe6151cbc1019f3c5849249940c16bdfb7f90c72a0....0.tmp
- /data/data/####/611b63cc1e3018f1acc302038e26fe344c77af2c221465c....0.tmp
- /data/data/####/65518f5dcf6883203d33d51aa5a01498834d65c716d3104....0.tmp
- /data/data/####/68d99ccc6df3be60bddc9b080615bf904a490022acefc1b....0.tmp
- /data/data/####/6b4f00b5a7f9f6e72fc20fd2269a218a3aff0636442a386....0.tmp
- /data/data/####/6cd97da49fc7bed2ee3f83fb2e5a12254304599095ae1ea....0.tmp
- /data/data/####/7092bd7ba4789dd9c6a00da4400214e094660862534917e....0.tmp
- /data/data/####/70ad1c453ec377cbcb64637b70dc415f442271691725ae3....0.tmp
- /data/data/####/7396d9a222e656a47be9773d36dbc796bf37ee4bdf190e1....0.tmp
- /data/data/####/75bfe2ef9aa31dec0a866a1972f7387e4015a970486e0ec....0.tmp
- /data/data/####/78fff72743265886921f51f9786f6b87c160f77937ea3e0....0.tmp
- /data/data/####/7f1f1784522740997df013d5664e993c74dcc7484695ac3....0.tmp
- /data/data/####/83ed201fff76190140c0af33c4e869fc1c1bd9432b902aa....0.tmp
- /data/data/####/88524fe3caf2a3d8ab3356fa13aee7663f934de5edb221e....0.tmp
- /data/data/####/8c13b177d4279187f9ce418363c7ba48e6e10d9c650fbb1....0.tmp
- /data/data/####/8f8e693fdfa9c98c9914926f479b9b75e3a2cb04fdb8904....0.tmp
- /data/data/####/902931d1ea3d654d275e544e4d41a5d21369de299bf88ac....0.tmp
- /data/data/####/9086c18b711b4279c185d7511cead1eb4693f9bde544816....0.tmp
- /data/data/####/96181c34bfe24f8afc63382074c3c0f3b90fc65f44da634....0.tmp
- /data/data/####/96d240f21588feff3abf5fcdee36f4450a1eee48f043ce1....0.tmp
- /data/data/####/9860fd2fc938eb1474af372038b768557af7eb37dafb305....0.tmp
- /data/data/####/9ce407fcf4c7fd20d19561df8edf6b6890e58805b1d3b95....0.tmp
- /data/data/####/9d0fcf7c4c59d1d5c7666320e2341914faa1117a96fbc6a....0.tmp
- /data/data/####/9f7ec0fd7905afa5dddd69416f429dd9cd511f42e9ead0b....0.tmp
- /data/data/####/__Baidu_Stat_SDK_SendRem.xml
- /data/data/####/__local_ap_info_cache.json
- /data/data/####/__local_last_session.json
- /data/data/####/__local_stat_cache.json
- /data/data/####/__send_data_1538221836300
- /data/data/####/a04afa50447ad360c96e7421633122995cec01a6d2e547f....0.tmp
- /data/data/####/a4cc5058235fba1763c69203ca5bae1c2c43baa1fdb4e97....0.tmp
- /data/data/####/a50e7743d2c9eed99b2d77740b762c5689573f3e37227fa....0.tmp
- /data/data/####/a6b64d63c697b33ffa656eaeb58a0ef6dc6404e089047be....0.tmp
- /data/data/####/a8025189ff54c926d8e2e9826702cdc4898edf513bf5463....0.tmp
- /data/data/####/ab2fa0afbf841ba6f754adf531d1c723c4f0996fd8d2c05....0.tmp
- /data/data/####/b432c276de78b5a5a8c5064583f4e7442be5434a8b890ea....0.tmp
- /data/data/####/b6a235cdc28ea4a3f03610a3824aac7421080ebfaa22f87....0.tmp
- /data/data/####/b8dabf6baf43bfa7c802656c46754f2fc15a1aa17ab49d2....0.tmp
- /data/data/####/b8f434ede26df3994a9f718588e188c2fd7d5de2aea0aca....0.tmp
- /data/data/####/b9edfc25925d264948c54fbf0aa3248cd2e670f181cf9a0....0.tmp
- /data/data/####/baidu_mtj_sdk_record.xml
- /data/data/####/c038347df3559f8648dfe3b31176689fb05547b911bd685....0.tmp
- /data/data/####/c146df1d57b3ac14c57f593b8ecd32d6e91dcebb199c732....0.tmp
- /data/data/####/c2a8d62f6489de7ac7386718025c95c532d915fd9f06851....0.tmp
- /data/data/####/c379d5048be43d4ad40ebdf0c04cb9e8e4cd106e8f69340....0.tmp
- /data/data/####/d1a81716b694f11d03038c3e74f49b773599670067f4590....0.tmp
- /data/data/####/d8cb67cbdf67c507dd04855e6c1d18b26f3ed0efa5e564a....0.tmp
- /data/data/####/d9992446932d8fde260543547dbd97be9b9a7d86dc9fa03....0.tmp
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/e16a8e15ab2c0c5ba4124e80cd7a14d8ff51fc9e9d34a1e....0.tmp
- /data/data/####/e2ff292d047fafe4912e13c56f6e82f2a9da5eaf21d8aa2....0.tmp
- /data/data/####/ea796103ebe6360d9dd723dbe44fb34b1daac2854a6451f....0.tmp
- /data/data/####/edc311d0dcf2150524a086f455b400b670fb0520911d4cb....0.tmp
- /data/data/####/f07e4303736c7124b3232a6b1d74a2414cf30bec5e23873....0.tmp
- /data/data/####/f816352d699b79ac603e34a617923e0da7776f43ba83c69....0.tmp
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/gdaemon_20161017
- /data/data/####/getui_sp.xml
- /data/data/####/gx_sp.xml
- /data/data/####/index
- /data/data/####/init.pid
- /data/data/####/init_c1.pid
- /data/data/####/journal.tmp
- /data/data/####/libcuid.so
- /data/data/####/libjiagu-1539022912.so
- /data/data/####/mob_commons_1
- /data/data/####/mob_sdk_exception_1
- /data/data/####/multidex.version.xml
- /data/data/####/push.pid
- /data/data/####/pushext.db-journal
- /data/data/####/pushg.db-journal
- /data/data/####/pushsdk.db-journal
- /data/data/####/run.pid
- /data/data/####/tdata_YYn966
- /data/data/####/tdata_YYn966.jar
- /data/data/####/tdata_eOt091
- /data/data/####/tdata_eOt091.jar
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/wei_hai.db-journal
- /data/media/####/.confd
- /data/media/####/.confd-journal
- /data/media/####/.cuid
- /data/media/####/.cuid2
- /data/media/####/.dic_lock
- /data/media/####/.duid
- /data/media/####/.globalLock
- /data/media/####/.nulplt
- /data/media/####/.pkg_lock
- /data/media/####/.rcTag
- /data/media/####/.rc_lock
- /data/media/####/.timestamp
- /data/media/####/app.db
- /data/media/####/cn.e23.weihai.bin
- /data/media/####/cn.e23.weihai.db
- /data/media/####/cn_e23_wei_hai_logo.png
- /data/media/####/com.getui.sdk.deviceId.db
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/tdata_YYn966
- /data/media/####/tdata_eOt091
- /data/media/####/test.log
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/files/gdaemon_20161017 0 <Package>/<Package>.service.PushService 24134 300 0
- cat /sys/class/net/wlan0/address
- chmod 700 <Package Folder>/files/gdaemon_20161017
- chmod 755 <Package Folder>/.jiagu/libjiagu-1539022912.so
- getprop ro.build.display.id
- getprop ro.build.version.emui
- getprop ro.build.version.opporom
- getprop ro.miui.ui.version.name
- getprop ro.smartisan.version
- getprop ro.vivo.os.version
- mount
- sh
- sh <Package Folder>/files/gdaemon_20161017 0 <Package>/<Package>.service.PushService 24134 300 0
Загружает динамические библиотеки:
- crash_analysis
- getuiext2
- libjiagu-1539022912
- neh
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-ECB-PKCS5Padding
- RSA-ECB-PKCS1Padding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-ECB-NoPadding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
