Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Осуществляет доступ к приватному интерфейсу ITelephony.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) ads.ku####.cn:80
- TCP(HTTP/1.1) la####.m####.com:80
- TCP(HTTP/1.1) pc.weilito####.net.####.com:80
- TCP(HTTP/1.1) t####.dmp.y####.net:80
- TCP(HTTP/1.1) wlnovel####.b0.a####.com:80
- TCP(HTTP/1.1) ti####.c####.l####.####.com:80
- TCP(HTTP/1.1) l####.c####.q####.####.com:80
- TCP(HTTP/1.1) l####.tbs.qq.com:80
- TCP(HTTP/1.1) log####.ku####.cn:80
- TCP(HTTP/1.1) s####.gw.y####.net:80
- TCP(HTTP/1.1) gs.g####.com:80
- TCP(HTTP/1.1) sdk.o####.p####.####.com:80
- TCP(HTTP/1.1) marke####.et####.cn:80
- TCP(HTTP/1.1) c####.g####.com:80
- TCP(HTTP/1.1) 65a4####.cdn.uc####.####.cn:80
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) b####.g####.com:80
- TCP(HTTP/1.1) sh.wagbr####.aliyun####.com:80
- TCP(HTTP/1.1) s.y####.net:80
- TCP(TLS/1.0) et2-na6####.wagbr####.ali####.####.com:443
- TCP(TLS/1.0) t####.c####.q####.####.com:443
- TCP(TLS/1.0) publish####.b####.com.####.com:443
- TCP(TLS/1.0) log####.weilito####.net:443
- TCP(TLS/1.0) i####.g####.com.####.net:443
- TCP(TLS/1.0) res####.a####.com:443
- TCP(TLS/1.0) pc.weilito####.net.####.com:443
- TCP sdk.o####.t####.####.com:5224
- TCP c####.g####.ig####.com:5227
Запросы DNS:
- 3####.nd####.y####.com
- 7j####.c####.z0.####.com
- a####.u####.com
- ads.ku####.cn
- amap####.cn-hang####.oss####.####.com
- api.ku####.cn
- b####.g####.com
- bro####.ku####.cn
- c####.g####.com
- c####.g####.ig####.com
- c-h####.g####.com
- gs.g####.com
- i####.g####.com
- im####.st####.suishe####.net
- img.17ge####.com
- l####.tbs.qq.com
- la####.m####.com
- log####.ku####.cn
- log####.weilito####.net
- log.u####.com
- marke####.et####.cn
- pc.weilito####.net
- publish####.b####.com
- res####.a####.com
- s####.gw.y####.net
- s####.ml####.cc
- s####.u####.com
- s.y####.net
- sdk.c####.ig####.com
- sdk.o####.p####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
- sdk.st####.y####.com
- st####.et####.cn
- t####.dmp.y####.net
- wlnovel####.weilin####.net
Запросы HTTP GET:
- 65a4####.cdn.uc####.####.cn/imgs/upload/1513159898.4923.png
- 65a4####.cdn.uc####.####.cn/imgs/upload/1550831879.5562.jpg
- l####.c####.q####.####.com/core/aos-dex/1809/8301/a02b4e61
- l####.c####.q####.####.com/core/aos-so/1611/7000/ad389c56.so
- la####.m####.com/km/v2/recommend
- marke####.et####.cn/api/ckver?pkg=####&dev=####&epid=####
- pc.weilito####.net.####.com/km_task/api/v1/ads?city_key=####&ver_code=##...
- pc.weilito####.net.####.com/km_task/api/v1/articles/57?city_key=####&ver...
- pc.weilito####.net.####.com/km_task/api/v1/category/all?city_key=####&ap...
- pc.weilito####.net.####.com/km_task/api/v1/continue_check_in/setting?cit...
- pc.weilito####.net.####.com/km_task/api/v1/search/keyword/box?city_key=#...
- pc.weilito####.net.####.com/km_task/api/v1/search/keyword/hot?city_key=#...
- pc.weilito####.net.####.com/km_task/api/v1/system/configs?city_key=####&...
- pc.weilito####.net.####.com/km_task/api/v1/tag/all?city_key=####&ver_cod...
- pc.weilito####.net.####.com/km_task/api/v1/timeline/recommend?city_key=#...
- pc.weilito####.net.####.com/km_task/api/v1/user/setTags?city_key=####&ve...
- pc.weilito####.net.####.com/km_task/api/v2/getLoginMode?city_key=####&ap...
- s####.gw.y####.net/aos/v3/initf?s=####
- s####.gw.y####.net/stat/v3/udt2?appid=####&s=####
- s.y####.net/stat/aos/v3/pkc?s=####
- s.y####.net/stat/aos/v3/pku?s=####
- sh.wagbr####.aliyun####.com/sdkcoor/android/x86/libJni_wgs2gcj.so
- ti####.c####.l####.####.com/config/hz-hzv3.conf
- wlnovel####.b0.a####.com/1d10805f4922026f85b09be8079cfe49.png
- wlnovel####.b0.a####.com/2e7b036ee8c3a728cb8ccab243231c02/0fb417bd87662d...
- wlnovel####.b0.a####.com/2e7b036ee8c3a728cb8ccab243231c02/1a44b045e8277a...
- wlnovel####.b0.a####.com/2e7b036ee8c3a728cb8ccab243231c02/1b17a2b4e0510b...
- wlnovel####.b0.a####.com/2e7b036ee8c3a728cb8ccab243231c02/240e182d0382a8...
- wlnovel####.b0.a####.com/2e7b036ee8c3a728cb8ccab243231c02/322b6af0fa3a2a...
- wlnovel####.b0.a####.com/2e7b036ee8c3a728cb8ccab243231c02/36d7ffd833d720...
- wlnovel####.b0.a####.com/2e7b036ee8c3a728cb8ccab243231c02/553914391fa544...
- wlnovel####.b0.a####.com/2e7b036ee8c3a728cb8ccab243231c02/59ea57d4b7af87...
- wlnovel####.b0.a####.com/2e7b036ee8c3a728cb8ccab243231c02/83773030a5c82c...
- wlnovel####.b0.a####.com/2e7b036ee8c3a728cb8ccab243231c02/b254ab3b655add...
- wlnovel####.b0.a####.com/2e7b036ee8c3a728cb8ccab243231c02/b81d861027e796...
- wlnovel####.b0.a####.com/2e7b036ee8c3a728cb8ccab243231c02/f7175b0b95829d...
- wlnovel####.b0.a####.com/3a17d8a878af00011d140a84ddc197aa.jpg
- wlnovel####.b0.a####.com/46f91fef5c9e5f964597fa8a2a5eb92a.jpg
- wlnovel####.b0.a####.com/6c113356ffb6245858435428632c8574.png
- wlnovel####.b0.a####.com/738bb95388df53d1dde60a1c0d2e63b5.jpg
- wlnovel####.b0.a####.com/8ba94a6b7fd7bd7adde89a8bab5053d6.jpg
- wlnovel####.b0.a####.com/9e8f189de432f936960003e3d5995bd3.png
- wlnovel####.b0.a####.com/a13062d29dec494d0467918f810de6db.jpg
- wlnovel####.b0.a####.com/b0efeab999b8a3b8ee2113045046e040.png
- wlnovel####.b0.a####.com/b74820146914342e1c04a2150c2275b1.png
- wlnovel####.b0.a####.com/bd26a6f89cec46323b634227f3e4cadc.jpg
- wlnovel####.b0.a####.com/c08b19b7eec29bd3682628d67271ee77.jpg
- wlnovel####.b0.a####.com/ce5a00f6efc242384fb7abca41a7c96e.png
- wlnovel####.b0.a####.com/ce9ae7e4a5fbdc0aeeef6f635bc278b7.jpg
- wlnovel####.b0.a####.com/e354b1b06295929858df201be0434153.jpg
- wlnovel####.b0.a####.com/f035153fd0607a923b65627ff6cb9f49.png
Запросы HTTP POST:
- a####.u####.com/app_logs
- ads.ku####.cn/kuaima_ads/api/ad/get
- b####.g####.com/api.php?format=####&t=####
- c####.g####.com/api.php?format=####&t=####
- gs.g####.com/encryption/key/fetch
- gs.g####.com/geshu/sdkStatistics/bindInfo
- gs.g####.com/geshu/sdkStatistics/uploadBI
- l####.tbs.qq.com/ajax?c=####&k=####
- log####.ku####.cn/collect/ce/log
- log####.ku####.cn/collect/event/log
- sdk.o####.p####.####.com/api.php?format=####&t=####
- t####.dmp.y####.net/v1/android/packages?rt=####&sign=####
- t####.dmp.y####.net/v2/android/pkgtime?rt=####&sign=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/0.xml
- /data/data/####/1550859482754.log
- /data/data/####/1550859482754.log.bak
- /data/data/####/1550859504140.log
- /data/data/####/65716db50c22a880b6b254871748cfd6-journal
- /data/data/####/6bf36c4fc25f16f2492706c4201119ca
- /data/data/####/6bf36c4fc25f16f2492706c4201119ca-journal
- /data/data/####/Alvin2.xml
- /data/data/####/Articles.xml
- /data/data/####/C0XKJAO3JLZKJPDKJFXLINQCJIOAOD.xml
- /data/data/####/C0XKJAO3JLZKJPDKJFXLINQCJIOAOD.xml.bak (deleted)
- /data/data/####/CE94557724F842149D690D0E8CBB1CBD.xml
- /data/data/####/CE94557724F842149D690D0E8CBB1CBD.xml.bak
- /data/data/####/ContextData.xml
- /data/data/####/DownloadMarket.db-journal
- /data/data/####/ECalendarPreferences.xml
- /data/data/####/ECalendarPreferences.xml.bak
- /data/data/####/KM_preference.xml
- /data/data/####/MultiDex.lock
- /data/data/####/Operations.xml
- /data/data/####/P15pKIjsm64m
- /data/data/####/P15pKIjsm64m-journal
- /data/data/####/SuishenAd_prf.xml
- /data/data/####/SuishenExitPageSDK_v92.apk
- /data/data/####/T1oX0rhhuXWt
- /data/data/####/T1oX0rhhuXWt-journal
- /data/data/####/Update.db.xml
- /data/data/####/UserInfo.xml
- /data/data/####/XKwVoK0huy3R
- /data/data/####/XKwVoK0huy3R-journal
- /data/data/####/a666ed17ac2f19017e5f069b5f86d2b9
- /data/data/####/a666ed17ac2f19017e5f069b5f86d2b9-journal
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/core_info
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/getui_sp.xml
- /data/data/####/gtc.db-journal
- /data/data/####/hc_hoclib_sdk.xml
- /data/data/####/hmdb
- /data/data/####/hmdb-journal
- /data/data/####/ias.db-journal
- /data/data/####/ias_sp.xml
- /data/data/####/init.pid
- /data/data/####/init_c1.pid
- /data/data/####/journal
- /data/data/####/journal.tmp
- /data/data/####/jqIqJYOT3JpT
- /data/data/####/jqIqJYOT3JpT-journal
- /data/data/####/libabcdefgh.so.new
- /data/data/####/libjiagu-912781003.so
- /data/data/####/loctemp.so
- /data/data/####/logdb.db
- /data/data/####/logdb.db-journal
- /data/data/####/multidex.version.xml
- /data/data/####/mwsdk_analytics.db-journal
- /data/data/####/persistent_data.xml
- /data/data/####/persistent_data.xml.bak
- /data/data/####/pref.xml
- /data/data/####/push.pid
- /data/data/####/pushsdk.db-journal
- /data/data/####/qihoo_jiagu_crash_report.xml
- /data/data/####/run.pid
- /data/data/####/suishen_ad.db-journal
- /data/data/####/suishen_ad_pramas.xml
- /data/data/####/suishen_ad_pramas.xml.bak
- /data/data/####/tbs_download_config.xml
- /data/data/####/tbs_download_config.xml (deleted)
- /data/data/####/tbs_download_stat.xml
- /data/data/####/tbscoreinstall.txt
- /data/data/####/tbslock.txt
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/umeng_socialize.xml
- /data/data/####/userlist.xml
- /data/data/####/wIU6pTyUBYWX
- /data/data/####/wIU6pTyUBYWX-journal
- /data/data/####/wsUL1uCdKvjD
- /data/data/####/wsUL1uCdKvjD-journal
- /data/data/####/ymdex.jar
- /data/data/####/ymdex.jar.new
- /data/media/####/02769a9bcecf975e83df6d40f761bbb483b2404ebe026b....0.tmp
- /data/media/####/0453d5506afe72f519d3371f908738fbc0dc4696e4ccf1....0.tmp
- /data/media/####/0864db5ff147f0f26bf186f527858c59a474e4bcd75a1d....0.tmp
- /data/media/####/096356809b57a2c3d0114d60864edb6a1790585aef1ae2....0.tmp
- /data/media/####/114cb0c44112f700d96d2696df947b713db68fdb77c293....0.tmp
- /data/media/####/1513159898.4923.png
- /data/media/####/1550831879.5562.jpg
- /data/media/####/211715316b235741ea811aa4f484aa6f52c46d206c406d....0.tmp
- /data/media/####/313309efcb9fd8e4cc9847ec3c886a736c447187bff673....0.tmp
- /data/media/####/3a480ba81e15b5176dd4c6f39babd2dc6071df3ab76644....0.tmp
- /data/media/####/46ecf29575f165318b461cd3963000e6999afcf0249fb8....0.tmp
- /data/media/####/58ceaf30217e42683b9e5ef3b8aeb44465215ac97b1491....0.tmp
- /data/media/####/5aab66123314583a8073ce03ed1f454bc92a662ad45e1c....0.tmp
- /data/media/####/6a2dfa79401ac2a7e92755c33c47d7499f0cb586cd86d2....0.tmp
- /data/media/####/6c31d606c1267a855b8075f4dcd45afd14389d1d53cc40....0.tmp
- /data/media/####/6c83fe1353dc2cc20c4e2913fde70f9a24e8b36d7a0b38....0.tmp
- /data/media/####/7907fbbd4a920dd2edb8f08732d1f304c9c9256fe6a431....0.tmp
- /data/media/####/7f197b6f7293f499208c991f61d6d87dc65eb30984192b....0.tmp
- /data/media/####/846481411332ccf6f19cdf3a9972abe0
- /data/media/####/8516741d5518479d8f1c1d56b66e7354acb1e1e2aa6e1c....0.tmp
- /data/media/####/8c35f2d5d4dd14df5c4266d4bc4d38781f12750cbdaba6....0.tmp
- /data/media/####/944184d2666bc47f7cec703d559e318a8bba9ca2c41dea....0.tmp
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/DXTX902KJZX9JASLDJF
- /data/media/####/DXTX902KJZX9JASLDJF.ymtf
- /data/media/####/SOX90123JSOALK2098SD
- /data/media/####/SOX90123JSOALK2098SD.ymtf
- /data/media/####/a18ef401d88eb307a4bac753403966e38508e5c656b5dd....0.tmp
- /data/media/####/aca33775f00d3a48b2ab59c6e701b11fc4e4cdf2dedf1e....0.tmp
- /data/media/####/als.db
- /data/media/####/als.db-journal
- /data/media/####/app.db
- /data/media/####/b14ae9fe16f9c6a4fefc7ae7b3e3c04d284b9fa9b68034....0.tmp
- /data/media/####/b3612dde1dee3a0359afa137b160267d99dd27d697b981....0.tmp
- /data/media/####/b53717f3ec8bb612100af639d81b083f505b42efe035af....0.tmp
- /data/media/####/b8150d6914ed93a7e7c0c188b2bc4bd659369bef5e37a4....0.tmp
- /data/media/####/bf22336bf1671c663727600236886c6dc7d43ae286bb0c....0.tmp
- /data/media/####/blank.png
- /data/media/####/btn_nav_bg.9.png
- /data/media/####/btn_nav_sel.9.png
- /data/media/####/caad6c116be7e0e43f4275ec8be1ce3c25454506ec89cf....0.tmp
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/com.kuaima.browser.bin
- /data/media/####/com.kuaima.browser.db
- /data/media/####/com.kuaima.browser_.db
- /data/media/####/d00e449680334cd478cab8c58e43f1794f504f86c45f7b....0.tmp
- /data/media/####/d2f5d26d083dc9f55a1e0faf411cf9ca5ea594edb2ce0d....0.tmp
- /data/media/####/d83b366bb485d99bf58f626f77e13ca437b201b89d01f6....0.tmp
- /data/media/####/d8c33f8d5125f5f0f2d8a231958941af36f11f51371dcb....0.tmp
- /data/media/####/dialog_details_bg.9.png
- /data/media/####/dialog_dismiss.png
- /data/media/####/dialog_dismiss_sel.png
- /data/media/####/download_btn_normal.9.png
- /data/media/####/e40e66d1e1468bc0231ca0e4821f29f78660c3c541fe24....0.tmp
- /data/media/####/e666a740ab7a1213fe0370fe311ddb1f501d6b556567a5....0.tmp
- /data/media/####/ef208341a1cbf2833e0808b6b1afb9fb18edc875e2286a....0.tmp
- /data/media/####/f671af94a902f3acbdcfbc0f5b3f66cea18e9d53885c6d....0.tmp
- /data/media/####/f80329385f6fbafc4477ad0cac5f50de86fb3c784bcd08....0.tmp
- /data/media/####/fa407c0abc5382a45203c528e0e29ac5
- /data/media/####/fes_type_sel.9.png
- /data/media/####/ff5901d3e756213e30a5c26b0ca4b4fd2ff5db6045c6b8....0.tmp
- /data/media/####/grid_bg.9.png
- /data/media/####/grid_sel.9.png
- /data/media/####/i42d45df023jnkdd93la483f9xGFKXI
- /data/media/####/ic_btn_down.png
- /data/media/####/ic_default.png
- /data/media/####/info
- /data/media/####/journal.tmp
- /data/media/####/list_bg_sel.png
- /data/media/####/s92TjjdfoP2n3o9dfji2l9s1olkjf0p
- /data/media/####/top_btn_normal.9.png
- /data/media/####/top_btn_selected.9.png
- /data/media/####/update_btn_normal.9.png
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/kernel_max
- chmod 755 <Package Folder>/.jiagu/libjiagu-912781003.so
- getprop ro.product.cpu.abi
- su -c id
Загружает динамические библиотеки:
- EcalendarLib
- abcdefgh
- getuiext2
- libjiagu-912781003
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-NoPadding
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS5Padding
- DESede
- PBEWITHMD5andDES
- RSA-ECB-NoPadding
- RSA-ECB-PKCS1Padding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-NoPadding
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS5Padding
- PBEWITHMD5andDES
Использует повышенные привилегии.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Управляет Wi-Fi-подключением.
