Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) c-h####.g####.com:80
- TCP(HTTP/1.1) m####.gzs####.net.####.com:80
- TCP(HTTP/1.1) sdk.o####.p####.####.com:80
- TCP(HTTP/1.1) t####.c####.q####.####.com:80
- TCP(TLS/1.0) mi.gzs####.net:443
- TCP(TLS/1.0) 1####.217.20.78:443
- TCP c####.g####.ig####.com:5225
- TCP sdk.o####.t####.####.com:5224
Запросы DNS:
- 7j####.c####.z0.####.com
- c####.g####.ig####.com
- c-h####.g####.com
- m####.gzs####.net
- mi.gzs####.net
- pub-####.qin####.com
- sdk.c####.ig####.com
- sdk.o####.p####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
Запросы HTTP GET:
- m####.gzs####.net.####.com/upload/0abc8c310bfd4dd396b0123cc20870e5.png
- m####.gzs####.net.####.com/upload/1110bab5f5af4601baf059766e208ee3.png
- m####.gzs####.net.####.com/upload/5815ca502d3b4d539a91c86d3e112960_m.png
- m####.gzs####.net.####.com/upload/5948b233b87c4f828acd827e0b692abe_m.png
- m####.gzs####.net.####.com/upload/5cd1afa0a57c44eb8f2b4bd06da1c98e.png
- m####.gzs####.net.####.com/upload/6553abac73b647a4bae0d23b98a0e2df.png
- m####.gzs####.net.####.com/upload/856a7e2b715e4dcb8587e91c9fc6e520_m.png
- m####.gzs####.net.####.com/upload/9a490e43a51a47ea93cb7370df7517e1.png
- m####.gzs####.net.####.com/upload/a3cdbe04cb604508836dd047e1c4739e_m.png
- m####.gzs####.net.####.com/upload/bc611f2982bb4501b08bc693bc3b0d32.png
- m####.gzs####.net.####.com/upload/c9aeea0902ec4783afa85a54b61ca3cf.png
- m####.gzs####.net.####.com/upload/d8285b13d89b435ea5caccaece991ba5.png
- m####.gzs####.net.####.com/upload/dae1ab57052b46f2b5b110af4ca30f48.png
- m####.gzs####.net.####.com/upload/de5f5b39d7024cadb3e5eb6d3d733afa_m.png
- m####.gzs####.net.####.com/upload/f21318728d864884a69aac7d5edd6dbf_m.jpg
- m####.gzs####.net.####.com/upload/fd65ace757104414b5ef5044d787f70a.png
- t####.c####.q####.####.com/config/hz-hzv3.conf
- t####.c####.q####.####.com/tdata_EDT356
- t####.c####.q####.####.com/tdata_YYn966
Запросы HTTP POST:
- c-h####.g####.com/api.php?format=####&t=####
- sdk.o####.p####.####.com/api.php?format=####&t=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/031c29518c27492d9a101f9fc24f1b8323b496851263298....0.tmp
- /data/data/####/046edcafa63060a72a3675274340b9e4c02de189fb790cd....0.tmp
- /data/data/####/0ab1d1f76bd0eb1fa030b20e915e8a5efbc915f43211c81....0.tmp
- /data/data/####/0dd8708229d28d3cf835cbd772d2a7879790dd573f61f6f....0.tmp
- /data/data/####/0ffc72e3c76648a018ccbd64c8217130b0ce09ea86be684....0.tmp
- /data/data/####/100e21102c0f14f68a5f887e9f84d3c3f15355a0924317b....0.tmp
- /data/data/####/19f45431d01e1ad492862daf4c2edf196422fd8a8db222c....0.tmp
- /data/data/####/1ae4f7139a0d8051541e9ec9c188aee5a33473489f2dbfc....0.tmp
- /data/data/####/1e7e3c29fb7543c9eaed8bac65f1f64d56538a87d46dc5d....0.tmp
- /data/data/####/26d5df2f1980625cdac1b7d8f04f3da038f660fb139dcb3....0.tmp
- /data/data/####/28a627b266ca2a9c1ae352cd334d71ec7eb680a6c42f367....0.tmp
- /data/data/####/2df305cf427125f66c4b3a84b11b961ab868db80be0b61f....0.tmp
- /data/data/####/397e013076028a9b1b09362e13ecb77ac7b97ad2e12fc9a....0.tmp
- /data/data/####/43a8075ff72a36f2b51b6a9778c6eef4c5e72b5ac345319....0.tmp
- /data/data/####/55dda9ec4c3ca047c0ae339942017763cbfbef54c7c3cc9....0.tmp
- /data/data/####/5cab5990f824383071bfac9d38a12482ef25ff207d0a554....0.tmp
- /data/data/####/612cae3d8d0a8473647b9b84088d4cc3ebdb548bb5f50b6....0.tmp
- /data/data/####/61c3bf71eca4b6a596669aaab7b0e663dfc9b1c49324acc....0.tmp
- /data/data/####/61d5258310733d24996d2a9c4542ff6d28232f8b8e8e02e....0.tmp
- /data/data/####/64a20750ec5b000ca9a238700889d975686568e6f8a2b31....0.tmp
- /data/data/####/6e6742c20355e4989e9c263996d5c75ef8bf135e9c7c105....0.tmp
- /data/data/####/70c46a6bdda099613fd12f3b9fb6aa271bfa804c1c09804....0.tmp
- /data/data/####/70c7f373bdb4693fd07eb8ae3ed87516b49d668f4458438....0.tmp
- /data/data/####/7c366322d6ef0ed0c22aea04660538fc23cbc407e06dfd3....0.tmp
- /data/data/####/81a9defffd704c16a9023fd877de95e773b737d17ec6162....0.tmp
- /data/data/####/832185c22b949c95cc225a93bba0cb3905be1f44f7a96af....0.tmp
- /data/data/####/8d376644086b6531e1e40de4195969e4574cd70c5fa3cf8....0.tmp
- /data/data/####/9274269b386ed31a6ea76afb37f292a1957a881911fa718....0.tmp
- /data/data/####/9678fa30e404a77fb4ad9f5dbc0cb0ad6ca3d87ea5be3f7....0.tmp
- /data/data/####/97d9ca1e8ce4cdbca5e281e1453805b9e59e4bdba534e72....0.tmp
- /data/data/####/980cdd5d77f414cb14833936cd39b06f85c8756675ead1a....0.tmp
- /data/data/####/98b3f646c4f6dac8c9a0eb05335922c95d585a81ec59e35....0.tmp
- /data/data/####/9de6a71c9c20b6033c4575aebe825719d1507f5f940c361....0.tmp
- /data/data/####/9f04b19a78fc9e2d49776f7f0915df703e10153b0d8589c....0.tmp
- /data/data/####/MultiDex.lock
- /data/data/####/aa89c3dc8241bfc8b410578311341e11ed278c4cd9d66d3....0.tmp
- /data/data/####/ada425ff1cc5d82fe3b30e45a6e34eefcdeeee8c80e0127....0.tmp
- /data/data/####/b5a3a80f82719d447f6157c88ff8bd89adae9d2ffcf7696....0.tmp
- /data/data/####/bad0385f3b9aae97d5aaa63b0c2ad3c01c40b234fcf4c63....0.tmp
- /data/data/####/bb050b65acaf350177e0bb73d55115e6ff5e848bb6bae96....0.tmp
- /data/data/####/bdb42cb76b7181e09024b360c4f1019ca18d42b45170453....0.tmp
- /data/data/####/be7ad155a6ba5041558c6d2fd96f2cc29a1ebdbfde5fa45....0.tmp
- /data/data/####/c017851518b68e7d937886973c9efdd19a83d07727766f2....0.tmp
- /data/data/####/c11eec2dcbbc2fc924b7648aac4512ff9f149fc49030177....0.tmp
- /data/data/####/c1d0e6fe89b77061820aa9cff0795ae2b5378e7bd161b52....0.tmp
- /data/data/####/c633bc2912fdd826db601f73b7b16441510bf1d6054f852....0.tmp
- /data/data/####/c6623b7b6a76bb995be3f5c0b766a82dc6eb6f2dd7af5fa....0.tmp
- /data/data/####/c8bcf906dbf18a33be65636163f56287bbc0eed8f86a317....0.tmp
- /data/data/####/cc2ddfd1bfa5cae1dfcbe3414a7fbf18c288752a6ecdc6a....0.tmp
- /data/data/####/com.khmi.mall_preferences.xml
- /data/data/####/d53211ba1182ba3311ad59360a2ecc56d2f26af46405a10....0.tmp
- /data/data/####/da69587bea92c46648fb14ba9ab18b3369b06fd27a500a6....0.tmp
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/db72ba4c2a4433601de976a2d6d12b451a924c34ac24e34....0.tmp
- /data/data/####/dbb5caa83ea13607e7f78caea2f93225d34fdf5f27bd51f....0.tmp
- /data/data/####/dbfa16007dc06d845bd6f170439bbc7290b02ece4dd26f5....0.tmp
- /data/data/####/e2589ffc3f19dab27b6b54189cd54e0eb409c650e9e5234....0.tmp
- /data/data/####/e4824da7c86ff469797fd95aa802e7c530c89ffff0a9a90....0.tmp
- /data/data/####/e48af59178e6
- /data/data/####/e95192af08f781a920feb50c59bd3959a983be3eab4377f....0.tmp
- /data/data/####/f6c920054f519e07a777b505368e4b1e94f814102be7c7c....0.tmp
- /data/data/####/f816b3c956ce68359c08851df77b4d691e69ee9b11d5b79....0.tmp
- /data/data/####/f881a7295378cc6c8d37da185b9ea7f3df67615977e197b....0.tmp
- /data/data/####/f95594653c01cb5318d3f23a8a549295e70d39e87be92cd....0.tmp
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/f_000004
- /data/data/####/f_000005
- /data/data/####/f_000006
- /data/data/####/f_000007
- /data/data/####/f_000008
- /data/data/####/f_000009
- /data/data/####/f_00000a
- /data/data/####/f_00000b
- /data/data/####/f_00000c
- /data/data/####/f_00000d
- /data/data/####/f_00000e
- /data/data/####/f_00000f
- /data/data/####/f_000010
- /data/data/####/f_000011
- /data/data/####/f_000012
- /data/data/####/f_000013
- /data/data/####/f_000014
- /data/data/####/f_000015
- /data/data/####/f_000016
- /data/data/####/f_000017
- /data/data/####/f_000018
- /data/data/####/f_000019
- /data/data/####/gdaemon_20161017
- /data/data/####/getui_sp.xml
- /data/data/####/gx_sp.xml
- /data/data/####/index
- /data/data/####/init.pid
- /data/data/####/init_c1.pid
- /data/data/####/journal.tmp
- /data/data/####/libjiagu1889719684.so
- /data/data/####/multidex.version.xml
- /data/data/####/push.pid
- /data/data/####/pushext.db-journal
- /data/data/####/pushg.db-journal
- /data/data/####/pushsdk.db-journal
- /data/data/####/run.pid
- /data/data/####/shopwaiter_db-journal
- /data/data/####/tdata_YYn966
- /data/data/####/tdata_YYn966.jar
- /data/data/####/tdata_eOt091
- /data/data/####/tdata_eOt091.jar
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/xUtils_http_cookie.db
- /data/data/####/xUtils_http_cookie.db-journal
- /data/media/####/app.db
- /data/media/####/com.getui.sdk.deviceId.db
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/com.khmi.mall.bin
- /data/media/####/com.khmi.mall.db
- /data/media/####/tdata_YYn966
- /data/media/####/tdata_eOt091
- /data/media/####/test.log
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/files/gdaemon_20161017 0 <Package>/com.qchepro.mall.push.PushService 24258 300 0
- cat /sys/class/net/wlan0/address
- chmod 700 <Package Folder>/files/gdaemon_20161017
- chmod 755 <Package Folder>/.jiagu/libjiagu1889719684.so
- mount
Загружает динамические библиотеки:
- getuiext2
- libjiagu1889719684
- pl_droidsonroids_gif
Использует следующие алгоритмы для шифрования данных:
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
