Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.3.origin
Осуществляет доступ к приватному интерфейсу ITelephony.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) c-h####.g####.com:80
- TCP(HTTP/1.1) ser####.dc####.net.cn:80
- TCP(HTTP/1.1) ti####.c####.l####.####.com:80
- TCP(HTTP/1.1) qin####.com.www.####.com:80
- TCP(HTTP/1.1) aexcep####.b####.qq.com:8012
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(HTTP/1.1) sdk.o####.p####.####.com:80
- TCP(HTTP/1.1) aexcep####.b####.qq.com:8011
- TCP(TLS/1.0) ser####.dc####.net.cn:443
- TCP(TLS/1.0) and####.cli####.go####.com:443
- TCP sdk.o####.t####.####.com:5224
- TCP c####.g####.ig####.com:5225
Запросы DNS:
- a####.b####.qq.com
- aexcep####.b####.qq.com
- and####.b####.qq.com
- and####.cli####.go####.com
- c####.g####.ig####.com
- c-h####.g####.com
- mt####.go####.com
- pub-####.qin####.com
- sdk.c####.ig####.com
- sdk.o####.p####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
- ser####.dc####.net.cn
- st####.dc####.net.cn
Запросы HTTP GET:
- qin####.com.www.####.com/tdata_EDT356
- ti####.c####.l####.####.com/config/hz-hzv3.conf
Запросы HTTP POST:
- aexcep####.b####.qq.com:8011/rqd/async
- aexcep####.b####.qq.com:8012/rqd/async
- and####.b####.qq.com/rqd/async
- c-h####.g####.com/api.php?format=####&t=####
- sdk.o####.p####.####.com/api.php?format=####&t=####
- ser####.dc####.net.cn/device/location
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imei.txt
- /data/data/####/000.png
- /data/data/####/1.jpg
- /data/data/####/14.jpg
- /data/data/####/2.jpg
- /data/data/####/Changekehu.css
- /data/data/####/Changekehu.html
- /data/data/####/H547CE937.xml
- /data/data/####/H547CE937.xml.bak
- /data/data/####/Impwd.css
- /data/data/####/Impwd2.css
- /data/data/####/QQ20180127105649.jpg
- /data/data/####/Supply.css
- /data/data/####/Supply_01.css
- /data/data/####/_adio.dcloud.feature.ad.a.a.xml
- /data/data/####/a1.jpg
- /data/data/####/a2.jpg
- /data/data/####/a3.jpg
- /data/data/####/about01.html
- /data/data/####/about03.html
- /data/data/####/add.html
- /data/data/####/add.jpg
- /data/data/####/add_cart.html
- /data/data/####/addcp.css
- /data/data/####/addcp.html
- /data/data/####/addcp2.html
- /data/data/####/addcp_lb.html
- /data/data/####/addcpgj.html
- /data/data/####/addcphysy.html
- /data/data/####/addcpjscs.html
- /data/data/####/addcps.html
- /data/data/####/addcpss.html
- /data/data/####/addcpsy.html
- /data/data/####/addgyl.html
- /data/data/####/addgyl2.html
- /data/data/####/addgylgj.html
- /data/data/####/addgyls.html
- /data/data/####/addgyls2.html
- /data/data/####/addgylsy.html
- /data/data/####/addjscs.html
- /data/data/####/addjscs2.html
- /data/data/####/addkehu.css
- /data/data/####/addkehu.html
- /data/data/####/addkehu2.html
- /data/data/####/addneed.html
- /data/data/####/addneed2.html
- /data/data/####/addrizhi.css
- /data/data/####/addxs_cl.html
- /data/data/####/addxs_zbj.html
- /data/data/####/addxsgj.html
- /data/data/####/addxssy.html
- /data/data/####/addyewu.css
- /data/data/####/addyewu.html
- /data/data/####/addyunying.css
- /data/data/####/addyunying.html
- /data/data/####/addyunying2.html
- /data/data/####/addyy_lx.html
- /data/data/####/addyygj.html
- /data/data/####/addyygw.html
- /data/data/####/addyygw2.html
- /data/data/####/addyyhysy.html
- /data/data/####/addyyss.html
- /data/data/####/addyysy.html
- /data/data/####/app.css
- /data/data/####/arr.html
- /data/data/####/ban1.jpg
- /data/data/####/ban2.jpg
- /data/data/####/ban3.jpg
- /data/data/####/banner.jpg
- /data/data/####/biaoge.html
- /data/data/####/bigimg.css
- /data/data/####/bj_clqd.html
- /data/data/####/bj_zbj.html
- /data/data/####/bootstrap.css
- /data/data/####/bugly_db_legu-journal
- /data/data/####/bz_detail.html
- /data/data/####/bz_list.html
- /data/data/####/cart.html
- /data/data/####/cart.js
- /data/data/####/cart.png
- /data/data/####/cart_detail.html
- /data/data/####/category.html
- /data/data/####/chanpin.css
- /data/data/####/chanpin.html
- /data/data/####/clientid_igexin.xml
- /data/data/####/code.png
- /data/data/####/comment.html
- /data/data/####/cp.css
- /data/data/####/cp.html
- /data/data/####/cp.png
- /data/data/####/cp2.html
- /data/data/####/cp3.html
- /data/data/####/cp_az.html
- /data/data/####/cp_cp_de.html
- /data/data/####/cp_detail.html
- /data/data/####/cp_detail2.html
- /data/data/####/cp_detail3.html
- /data/data/####/cp_message.css
- /data/data/####/cp_message.html
- /data/data/####/cp_yy.html
- /data/data/####/cp_zhcb.html
- /data/data/####/cpdetail.jpg
- /data/data/####/cpgj_bj.html
- /data/data/####/cpgj_de.html
- /data/data/####/cpgj_list.html
- /data/data/####/cpgl.jpg
- /data/data/####/cph1.jpg
- /data/data/####/cph2.jpg
- /data/data/####/cph3.jpg
- /data/data/####/cphysy_de.html
- /data/data/####/cphysy_list.html
- /data/data/####/cpjscs_bj.html
- /data/data/####/cpjz.css
- /data/data/####/cps_bj.html
- /data/data/####/cps_de.html
- /data/data/####/cps_jscs.html
- /data/data/####/cps_list.html
- /data/data/####/cpshouyi.css
- /data/data/####/cpshouyi.html
- /data/data/####/cpshouyi.jpg
- /data/data/####/cpss.css
- /data/data/####/cpss_de.html
- /data/data/####/cpss_list.css
- /data/data/####/cpss_list.html
- /data/data/####/cpsy.png
- /data/data/####/cpsy_bg.html
- /data/data/####/cpsy_de.html
- /data/data/####/cssreset.css
- /data/data/####/dc_ad_type_key.xml
- /data/data/####/default_head.png
- /data/data/####/desk.png
- /data/data/####/desk2.png
- /data/data/####/editfw.html
- /data/data/####/editneed.html
- /data/data/####/eje3cnc
- /data/data/####/email.html
- /data/data/####/feedback.css
- /data/data/####/fw_detail.html
- /data/data/####/gdaemon_20161017
- /data/data/####/getui_sp.xml
- /data/data/####/gongyinglian.css
- /data/data/####/gongyinglian.html
- /data/data/####/googlegg.js
- /data/data/####/gq_shouyi.css
- /data/data/####/gq_shouyi.html
- /data/data/####/gx_sp.xml
- /data/data/####/gyl.css
- /data/data/####/gyl.html
- /data/data/####/gyl.png
- /data/data/####/gyl1.html
- /data/data/####/gyl1.jpg
- /data/data/####/gyl2.jpg
- /data/data/####/gyl_detail.css
- /data/data/####/gyl_detail.html
- /data/data/####/gyl_zhcb.html
- /data/data/####/gyldetail.jpg
- /data/data/####/gylgj_bj.html
- /data/data/####/gylgj_de.html
- /data/data/####/gylgj_list.html
- /data/data/####/gylgl.jpg
- /data/data/####/gyls_de.html
- /data/data/####/gyls_de2.html
- /data/data/####/gyls_jscs.html
- /data/data/####/gyls_jscs2.html
- /data/data/####/gyls_list.css
- /data/data/####/gyls_list.html
- /data/data/####/gylshouyi.jpg
- /data/data/####/gylshouyi2.jpg
- /data/data/####/gylsy.png
- /data/data/####/gylsy_bg.html
- /data/data/####/gylsy_de.html
- /data/data/####/h.js
- /data/data/####/hcp_detail.html
- /data/data/####/hcp_detail_canshu.html
- /data/data/####/hcp_detail_gyl.html
- /data/data/####/heyue.css
- /data/data/####/heyue.html
- /data/data/####/heyue.jpg
- /data/data/####/heyueInfo.html
- /data/data/####/home.html
- /data/data/####/home.js
- /data/data/####/html5Geo.xml
- /data/data/####/icon.png
- /data/data/####/iconfont-tianjia.png
- /data/data/####/iconfont-zhifubaozhifu.png
- /data/data/####/iconfont.css
- /data/data/####/iconfont.ttf
- /data/data/####/iconfont2.css
- /data/data/####/iconfont2.ttf
- /data/data/####/icons-extra.css
- /data/data/####/imageview.css
- /data/data/####/impwd.html
- /data/data/####/impwd2.html
- /data/data/####/impwd3.html
- /data/data/####/index.css
- /data/data/####/index.html
- /data/data/####/index1.html
- /data/data/####/index2.html
- /data/data/####/index3.html
- /data/data/####/index4.html
- /data/data/####/index_02.jpg
- /data/data/####/index_03.png
- /data/data/####/index_04.jpg
- /data/data/####/index_news.png
- /data/data/####/init.pid
- /data/data/####/init_c1.pid
- /data/data/####/jianjie.jpg
- /data/data/####/jianjie.png
- /data/data/####/jianjie2.jpg
- /data/data/####/jianjiey.jpg
- /data/data/####/jiazhi.css
- /data/data/####/jiazhi.html
- /data/data/####/jiazhi_list.html
- /data/data/####/jquery-3.1.1.min.js
- /data/data/####/kefu.css
- /data/data/####/kefu.html
- /data/data/####/kehu.css
- /data/data/####/kehu.html
- /data/data/####/kehu1.html
- /data/data/####/kehu1.jpg
- /data/data/####/kehu2.jpg
- /data/data/####/kehu_detail.css
- /data/data/####/kehu_detail.html
- /data/data/####/libiao.jpg
- /data/data/####/libnfix.so
- /data/data/####/libshella-2.9.1.2.so
- /data/data/####/libufix.so
- /data/data/####/local_crash_lock
- /data/data/####/login.css
- /data/data/####/login.html
- /data/data/####/lunbo.html
- /data/data/####/make_order.html
- /data/data/####/manifest.json
- /data/data/####/message.css
- /data/data/####/message.html
- /data/data/####/mix.dex
- /data/data/####/moneylog.html
- /data/data/####/mui-icons-extra.ttf
- /data/data/####/mui.css
- /data/data/####/mui.imageViewer.js
- /data/data/####/mui.imageviewer.css
- /data/data/####/mui.js
- /data/data/####/mui.min.css
- /data/data/####/mui.min.js
- /data/data/####/mui.picker.min.js
- /data/data/####/mui.previewimage.js
- /data/data/####/mui.pullToRefresh.js
- /data/data/####/mui.pullToRefresh.material.js
- /data/data/####/mui.ttf
- /data/data/####/mui.zoom.js
- /data/data/####/multidex.version.xml
- /data/data/####/my.css
- /data/data/####/my.html
- /data/data/####/my.jpg
- /data/data/####/my1.jpg
- /data/data/####/my2.jpg
- /data/data/####/my3.jpg
- /data/data/####/my4.jpg
- /data/data/####/my5.jpg
- /data/data/####/my_card.html
- /data/data/####/my_fw.html
- /data/data/####/my_need.html
- /data/data/####/my_team.css
- /data/data/####/my_team.html
- /data/data/####/my_team_downset.html
- /data/data/####/my_team_myset.html
- /data/data/####/mycp.css
- /data/data/####/mycp.html
- /data/data/####/mygyl.css
- /data/data/####/mygyl.html
- /data/data/####/native_record_lock
- /data/data/####/need_detail.html
- /data/data/####/news.css
- /data/data/####/news.html
- /data/data/####/newsInfo.css
- /data/data/####/newsinfo.html
- /data/data/####/null.png
- /data/data/####/offline.png
- /data/data/####/open-code.html
- /data/data/####/orderlist.html
- /data/data/####/pay.css
- /data/data/####/pay.html
- /data/data/####/pay.js
- /data/data/####/pdr.xml
- /data/data/####/pingjia.html
- /data/data/####/pro1.jpg
- /data/data/####/pro2.jpg
- /data/data/####/pro3.jpg
- /data/data/####/prod01.png
- /data/data/####/prod02.png
- /data/data/####/prod03.png
- /data/data/####/prod04.png
- /data/data/####/product.css
- /data/data/####/product.html
- /data/data/####/product01.png
- /data/data/####/product_01.css
- /data/data/####/product_child.css
- /data/data/####/product_child.html
- /data/data/####/product_child2.html
- /data/data/####/product_child3.html
- /data/data/####/product_detail_canshu.html
- /data/data/####/product_lists.html
- /data/data/####/push.pid
- /data/data/####/pushext.db-journal
- /data/data/####/pushg.db-journal
- /data/data/####/pushsdk.db-journal
- /data/data/####/qiquan.jpg
- /data/data/####/queren.html
- /data/data/####/queren_de.html
- /data/data/####/rePWD.css
- /data/data/####/rePhone.css
- /data/data/####/register.css
- /data/data/####/register.html
- /data/data/####/register2.html
- /data/data/####/ren.jpg
- /data/data/####/rephone.html
- /data/data/####/repwd.html
- /data/data/####/rizhi.css
- /data/data/####/rizhi.jpg
- /data/data/####/run.pid
- /data/data/####/sao.png
- /data/data/####/search.css
- /data/data/####/search.html
- /data/data/####/search2.css
- /data/data/####/search2.html
- /data/data/####/search3.html
- /data/data/####/search4.html
- /data/data/####/security_info
- /data/data/####/setting.css
- /data/data/####/setting.html
- /data/data/####/shenhe.html
- /data/data/####/shenhe.png
- /data/data/####/shop.css
- /data/data/####/shop.html
- /data/data/####/shouyi.css
- /data/data/####/shouyi.html
- /data/data/####/sssy.png
- /data/data/####/start_statistics_data.xml
- /data/data/####/stream_permission.xml
- /data/data/####/sup1.jpg
- /data/data/####/supply.html
- /data/data/####/supply_01.html
- /data/data/####/supply_02.html
- /data/data/####/swiper-3.4.2.min.css
- /data/data/####/swiper-3.4.2.min.js
- /data/data/####/table.js
- /data/data/####/test_app
- /data/data/####/timg.png
- /data/data/####/timg2.png
- /data/data/####/tixian.html
- /data/data/####/update.js
- /data/data/####/vue-resource.js
- /data/data/####/vue-router.js
- /data/data/####/vue.js
- /data/data/####/webview.db-journal
- /data/data/####/webview.html
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/webviewCookiesChromiumPrivate.db-journal
- /data/data/####/webviewCookiesChromiumPrivate.db-journal (deleted)
- /data/data/####/wechat.png
- /data/data/####/weixin.html
- /data/data/####/wuliao.html
- /data/data/####/wuliao1.jpg
- /data/data/####/wuliao2.jpg
- /data/data/####/wx_bind.html
- /data/data/####/xiangqing.jpg
- /data/data/####/xiaoshou.css
- /data/data/####/xiaoshou.html
- /data/data/####/xiaoshou.jpg
- /data/data/####/xieyi.css
- /data/data/####/xieyi.html
- /data/data/####/xqico.jpg
- /data/data/####/xs.png
- /data/data/####/xs_clcp.css
- /data/data/####/xs_clcp.html
- /data/data/####/xs_shouyi.html
- /data/data/####/xsgj_bj.html
- /data/data/####/xsgj_de.html
- /data/data/####/xsgj_list.html
- /data/data/####/xsgl.jpg
- /data/data/####/xssy_de.css
- /data/data/####/xssy_de.html
- /data/data/####/xszy_index.css
- /data/data/####/yewu.css
- /data/data/####/yewu.html
- /data/data/####/yewu.jpg
- /data/data/####/yewu2.jpg
- /data/data/####/yewu_detail.css
- /data/data/####/yewu_detail.html
- /data/data/####/yewudetail.jpg
- /data/data/####/yuny_detail.html
- /data/data/####/yunying.css
- /data/data/####/yunying.html
- /data/data/####/yunying_detail.css
- /data/data/####/yy.jpg
- /data/data/####/yy1.jpg
- /data/data/####/yy2.jpg
- /data/data/####/yy_shouyi.css
- /data/data/####/yy_shouyi.html
- /data/data/####/yy_zhcb.html
- /data/data/####/yydetail.jpg
- /data/data/####/yygj_bj.html
- /data/data/####/yygj_de.html
- /data/data/####/yygj_list.html
- /data/data/####/yygl.jpg
- /data/data/####/yygw_bj.html
- /data/data/####/yygw_de.css
- /data/data/####/yygw_de.html
- /data/data/####/yygw_list.css
- /data/data/####/yygw_list.html
- /data/data/####/yygw_list2.html
- /data/data/####/yyhysy_de.html
- /data/data/####/yyhysy_list.html
- /data/data/####/yylist.css
- /data/data/####/yylist.html
- /data/data/####/yylist1.html
- /data/data/####/yyss_de.html
- /data/data/####/yyss_list.html
- /data/data/####/yysy.png
- /data/data/####/yysy_bg.html
- /data/data/####/yysy_de.html
- /data/data/####/zepto.js
- /data/data/####/zepto.min.js
- /data/data/####/zhihui.keystore
- /data/data/####/zhijie.jpg
- /data/data/####/zhijie.png
- /data/data/####/zhijie1.png
- /data/data/####/zhijiey.jpg
- /data/data/####/zhiwen.html
- /data/data/####/zhonghe.html
- /data/data/####/ziyuans.css
- /data/data/####/zl1.jpg
- /data/data/####/zl2.jpg
- /data/data/####/zy_index.html
- /data/media/####/.imei.txt
- /data/media/####/AdEnable.dat
- /data/media/####/app.db
- /data/media/####/cn.zaodadang.ruijin.bin
- /data/media/####/cn.zaodadang.ruijin.db
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/test.log
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop ro.aa.romver
- /system/bin/sh -c getprop ro.board.platform
- /system/bin/sh -c getprop ro.build.fingerprint
- /system/bin/sh -c getprop ro.build.nubia.rom.name
- /system/bin/sh -c getprop ro.build.rom.id
- /system/bin/sh -c getprop ro.build.tyd.kbstyle_version
- /system/bin/sh -c getprop ro.build.version.emui
- /system/bin/sh -c getprop ro.build.version.opporom
- /system/bin/sh -c getprop ro.gn.gnromvernumber
- /system/bin/sh -c getprop ro.lenovo.series
- /system/bin/sh -c getprop ro.lewa.version
- /system/bin/sh -c getprop ro.meizu.product.model
- /system/bin/sh -c getprop ro.miui.ui.version.name
- /system/bin/sh -c getprop ro.vivo.os.build.display.id
- /system/bin/sh -c type su
- <Package Folder>/files/gdaemon_20161017 0 <Package>/io.dcloud.feature.apsGt.GTNormalPushService 24895 300 0
- cat /sys/class/net/wlan0/address
- chmod 700 <Package Folder>/files/gdaemon_20161017
- chmod 700 <Package Folder>/tx_shell/libnfix.so
- chmod 700 <Package Folder>/tx_shell/libshella-2.9.1.2.so
- chmod 700 <Package Folder>/tx_shell/libufix.so
- getprop ro.aa.romver
- getprop ro.board.platform
- getprop ro.build.fingerprint
- getprop ro.build.nubia.rom.name
- getprop ro.build.rom.id
- getprop ro.build.tyd.kbstyle_version
- getprop ro.build.version.emui
- getprop ro.build.version.opporom
- getprop ro.gn.gnromvernumber
- getprop ro.lenovo.series
- getprop ro.lewa.version
- getprop ro.meizu.product.model
- getprop ro.miui.ui.version.name
- getprop ro.vivo.os.build.display.id
- getprop ro.yunos.version
- logcat -d -v threadtime
- mount
- sh <Package Folder>/files/gdaemon_20161017 0 <Package>/io.dcloud.feature.apsGt.GTNormalPushService 24895 300 0
Загружает динамические библиотеки:
- Bugly
- getuiext2
- libnfix
- libshella-2.9.1.2
- libufix
- nfix
- ufix
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-GCM-NoPadding
- RSA-ECB-PKCS1Padding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-GCM-NoPadding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
