Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) c-h####.g####.com:80
- TCP(HTTP/1.1) t####.c####.q####.####.com:80
- TCP(HTTP/1.1) d####.rua####.com:80
- TCP(HTTP/1.1) api.and####.rua####.com:80
- TCP(HTTP/1.1) a.appj####.com:80
- TCP(HTTP/1.1) i####.rua####.com.####.com:80
- TCP(HTTP/1.1) sdk.o####.p####.####.com:80
- TCP c####.g####.ig####.com:5225
- TCP sdk.o####.t####.####.com:5224
Запросы DNS:
- 7j####.c####.z0.####.com
- a####.u####.com
- a.appj####.com
- api.and####.rua####.com
- c####.g####.ig####.com
- c-h####.g####.com
- d####.rua####.com
- i####.rua####.com
- pub-####.qin####.com
- sdk.c####.ig####.com
- sdk.o####.p####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
Запросы HTTP GET:
- api.and####.rua####.com/ad/indexPPT?key=####
- api.and####.rua####.com/game/gameClickUpdate?game_id=####&key=####
- api.and####.rua####.com/game/gameCommentList?game_id=####&page=####&sort...
- api.and####.rua####.com/game/gameDetail?game_id=####&uid=####&key=####
- api.and####.rua####.com/game/listByModel?model=####&page=####&limit=####...
- api.and####.rua####.com/game/listByType?type=####&model=####&page=####&r...
- api.and####.rua####.com/system/update?versioncode=####&key=####
- d####.rua####.com/downbag_hx/2015/app/<Package>_5000_360.apk
- i####.rua####.com.####.com/uploads/ad/4d8180e4e00c2.jpg
- i####.rua####.com.####.com/uploads/ad/610a322d5ba90.jpg
- i####.rua####.com.####.com/uploads/ad/b8019df19aab9.jpg
- i####.rua####.com.####.com/uploads/ad/e35c29ef4e777.jpg
- i####.rua####.com.####.com/uploads/game_logo/201802/gLogo_5a7d9296853713...
- i####.rua####.com.####.com/uploads/game_logo/201806/gLogo_5b2c5690528390...
- i####.rua####.com.####.com/uploads/game_logo/201806/gLogo_5b318c46670c66...
- i####.rua####.com.####.com/uploads/game_logo/201807/gLogo_5b3c7b6ddffee3...
- i####.rua####.com.####.com/uploads/game_logo/201807/gLogo_5b3f0b94ce80c0...
- i####.rua####.com.####.com/uploads/game_logo/201807/gLogo_5b405d1b513ba2...
- i####.rua####.com.####.com/uploads/game_logo/201807/gLogo_5b48216066ebe1...
- i####.rua####.com.####.com/uploads/game_logo/201807/gLogo_5b51913c8489c0...
- i####.rua####.com.####.com/uploads/game_logo/201807/gLogo_5b56ef98e92461...
- i####.rua####.com.####.com/uploads/game_logo/201808/gLogo_5b6a680dbb82c6...
- i####.rua####.com.####.com/uploads/game_logo/201808/gLogo_5b7e6e98db2289...
- i####.rua####.com.####.com/uploads/game_logo/201809/gLogo_5b90c8df469ec7...
- i####.rua####.com.####.com/uploads/game_logo/201809/gLogo_5b9728335b6606...
- i####.rua####.com.####.com/uploads/game_logo/201809/gLogo_5b9b18ce7fc085...
- i####.rua####.com.####.com/uploads/game_logo/201809/gLogo_5b9efe7a8be5d1...
- i####.rua####.com.####.com/uploads/game_logo/201810/gLogo_5bbea048766b25...
- i####.rua####.com.####.com/uploads/game_logo/201810/gLogo_5bbf1a6b776ec3...
- i####.rua####.com.####.com/uploads/game_logo/201810/gLogo_5bbfead1582b21...
- i####.rua####.com.####.com/uploads/game_logo/201810/gLogo_5bbff2a73417f9...
- i####.rua####.com.####.com/uploads/game_logo/201810/gLogo_5bbff38b379250...
- i####.rua####.com.####.com/uploads/game_logo/201810/gLogo_5bbffcbdce3e97...
- i####.rua####.com.####.com/uploads/game_logo/201810/gLogo_5bbffe13d02956...
- i####.rua####.com.####.com/uploads/game_logo/201810/gLogo_5bc0017855c160...
- i####.rua####.com.####.com/uploads/game_logo/201810/gLogo_5bc002cf24d0e3...
- i####.rua####.com.####.com/uploads/game_logo/201810/gLogo_5bc0068489ecb4...
- i####.rua####.com.####.com/uploads/game_logo/201810/gLogo_5bc007a449b4d7...
- i####.rua####.com.####.com/uploads/game_logo/201810/gLogo_5bc00942401278...
- i####.rua####.com.####.com/uploads/game_logo/201810/gLogo_5bc00a8d331e87...
- i####.rua####.com.####.com/uploads/game_logo/201810/gLogo_5bc00ae96ff204...
- i####.rua####.com.####.com/uploads/game_logo/201810/gLogo_5bc00af1ecb612...
- i####.rua####.com.####.com/uploads/game_logo/201810/gLogo_5bc00bd97a5fc3...
- i####.rua####.com.####.com/uploads/game_logo/201810/gLogo_5bc00c368e7e15...
- i####.rua####.com.####.com/uploads/game_logo/201810/gLogo_5bc00c68076538...
- i####.rua####.com.####.com/uploads/game_pic/201810/g_pic5bc00bc7612e55.8...
- i####.rua####.com.####.com/uploads/game_pic/201810/g_pic5bc00bc78aa313.6...
- i####.rua####.com.####.com/uploads/game_pic/201810/g_pic5bc00bc7a97258.9...
- i####.rua####.com.####.com/uploads/game_pic/201810/g_pic5bc00bc7c3d3c4.0...
- i####.rua####.com.####.com/uploads/game_pic/201810/g_pic5bc00bc7e42618.4...
- t####.c####.q####.####.com/config/hz-hzv3.conf
- t####.c####.q####.####.com/tdata_EDT356
- t####.c####.q####.####.com/tdata_YEE769
- t####.c####.q####.####.com/tdata_qHR433
Запросы HTTP POST:
- a####.u####.com/app_logs
- a.appj####.com/ad-service/ad/mark
- api.and####.rua####.com/game/gameIsUpdate
- c-h####.g####.com/api.php?format=####&t=####
- sdk.o####.p####.####.com/api.php?format=####&t=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/-1346034567-1797760769
- /data/data/####/-1346034567-1901094262
- /data/data/####/-13460345672083662850
- /data/data/####/-1346034567211320776
- /data/data/####/-1346034567320159540
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/1164436aa5e1
- /data/data/####/1222597828-1057271962
- /data/data/####/1222597828-112218544
- /data/data/####/1222597828-1207346611
- /data/data/####/1222597828-1209108618
- /data/data/####/1222597828-1377410209
- /data/data/####/1222597828-1483423596
- /data/data/####/1222597828-168477876
- /data/data/####/1222597828-2008122644
- /data/data/####/1222597828-228294236
- /data/data/####/1222597828-290522106
- /data/data/####/1222597828-503620541
- /data/data/####/1222597828-653078364
- /data/data/####/1222597828-876168814
- /data/data/####/1222597828-957086478
- /data/data/####/1222597828101420235
- /data/data/####/12225978281057003270
- /data/data/####/1222597828108999393
- /data/data/####/12225978281102171633
- /data/data/####/12225978281121838013
- /data/data/####/12225978281166130444
- /data/data/####/12225978281340684465
- /data/data/####/12225978281472536605
- /data/data/####/12225978281748074369
- /data/data/####/12225978282004634854
- /data/data/####/12225978282010305936
- /data/data/####/12225978282052606097
- /data/data/####/12225978282067667997
- /data/data/####/12225978282100428762
- /data/data/####/1222597828259477995
- /data/data/####/1222597828351660549
- /data/data/####/1222597828397857626
- /data/data/####/1222597828564997470
- /data/data/####/1222597828974302996
- /data/data/####/exchangeIdentity.json
- /data/data/####/gdaemon_20161017
- /data/data/####/gx_sp.xml
- /data/data/####/init.pid
- /data/data/####/init_c.pid
- /data/data/####/jg_app_update_settings_random.xml
- /data/data/####/libjiagu.so
- /data/data/####/push.pid
- /data/data/####/pushext.db-journal
- /data/data/####/pushg.db-journal
- /data/data/####/pushsdk.db-journal
- /data/data/####/run.pid
- /data/data/####/sp.xml
- /data/data/####/tdata_YEE769
- /data/data/####/tdata_YEE769.jar
- /data/data/####/tdata_qHR433
- /data/data/####/tdata_qHR433.jar
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/xUtils.db-journal
- /data/media/####/.nomedia
- /data/media/####/1sa2n7kchjyqj5b2zgx6nqcfp
- /data/media/####/23uzw556cbk80rjkuaunqnkg6
- /data/media/####/3kynl24t5jyxg22nwoij45nc7
- /data/media/####/74bd66m9b1hr66rroy0mx2hhr
- /data/media/####/RTKStore.apk
- /data/media/####/app.db
- /data/media/####/com.getui.sdk.deviceId.db
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/com.rtk.app.db
- /data/media/####/tdata_YEE769
- /data/media/####/tdata_qHR433
- /data/media/####/test.log
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/files/gdaemon_20161017 0 <Package>/com.igexin.sdk.PushService 24069 300 0
- cat /sys/class/net/wlan0/address
- chmod 700 <Package Folder>/files/gdaemon_20161017
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- mount
- sh <Package Folder>/files/gdaemon_20161017 0 <Package>/com.igexin.sdk.PushService 24069 300 0
Загружает динамические библиотеки:
- getuiext2
- libjiagu
Использует следующие алгоритмы для шифрования данных:
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-NoPadding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
