Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Осуществляет доступ к приватному интерфейсу ITelephony.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) s.dianjiu####.cn:80
- TCP(HTTP/1.1) d####.fl####.com:80
- TCP(HTTP/1.1) ti####.c####.l####.####.com:80
- TCP(HTTP/1.1) t####.c####.q####.####.com:80
- TCP(HTTP/1.1) a.appj####.com:80
- TCP(HTTP/1.1) sdk.o####.p####.####.com:80
- TCP(HTTP/1.1) c-h####.g####.com:80
- TCP(HTTP/1.1) res####.a####.com:80
- TCP(HTTP/1.1) qin####.com.www.####.com:80
- TCP(HTTP/1.1) sh.wagbr####.aliyun####.com:80
- TCP(TLS/1.0) www.chunyuy####.com:443
- TCP(TLS/1.0) ti####.c####.l####.####.com:443
- TCP(TLS/1.0) and####.cli####.go####.com:443
- TCP(TLS/1.0) res####.a####.com:443
- TCP(TLS/1.0) redi####.network####.com:443
- TCP(TLS/1.0) dc1.network####.com:443
- TCP(TLS/1.0) be####.tin####.com:443
- TCP(TLS/1.0) api.chunyuy####.com:443
- TCP(TLS/1.0) img.dianjiu####.cn:443
- TCP sdk.o####.t####.####.com:5224
- TCP c####.g####.ig####.com:5225
Запросы DNS:
- 7j####.c####.z0.####.com
- a.appj####.com
- amap####.cn-hang####.oss####.####.com
- and####.cli####.go####.com
- api####.a####.com
- api.chunyuy####.com
- be####.tin####.com
- c####.g####.ig####.com
- c-h####.g####.com
- d####.fl####.com
- dc1.network####.com
- img.dianjiu####.cn
- pub-####.qin####.com
- redi####.network####.com
- res####.a####.com
- reso####.ch####.mobi
- s####.ch####.mobi
- s.dianjiu####.cn
- sdk.c####.ig####.com
- sdk.o####.p####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
- st####.chunyuy####.com
- www.chunyuy####.com
Запросы HTTP GET:
- qin####.com.www.####.com/tdata_EDT369
- s.dianjiu####.cn/djt?loc=10096&callback=DJT.handleAd2&os=h5&usertag=&ref...
- sh.wagbr####.aliyun####.com/sdkcoor/android/x86/libJni_wgs2gcj.so
- t####.c####.q####.####.com/tdata_RSQ274
- t####.c####.q####.####.com/tdata_RbW195
- t####.c####.q####.####.com/tdata_qHR433
- ti####.c####.l####.####.com/config/hz-hzv3.conf
Запросы HTTP POST:
- a.appj####.com/ad-service/ad/mark
- c-h####.g####.com/api.php?format=####&t=####
- d####.fl####.com/aap.do
- res####.a####.com/v3/log/init
- sdk.o####.p####.####.com/api.php?format=####&t=####
- sdk.o####.p####.####.com/api.php?format=####&t=####&d=####&k=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.FlurrySenderIndex.info.AnalyticsData_6BTKQ64JX...8G_156
- /data/data/####/.FlurrySenderIndex.info.AnalyticsMain
- /data/data/####/.flurryagent.-248f6de7
- /data/data/####/.flurrydatasenderblock.0961db16-0cea-4834-9791-...49991c
- /data/data/####/.jg.ic
- /data/data/####/Chunyu.Pedometer.db-journal
- /data/data/####/PEDO_METER_PREF_NAME.xml
- /data/data/####/_andfix_.xml
- /data/data/####/assistant.xml
- /data/data/####/autologin.xml
- /data/data/####/bac52d83085c
- /data/data/####/com.networkbench.agent.impl.v2_me.chunyu.ChunyuDoctor.xml
- /data/data/####/daily_notification.xml
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/db_default-journal
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/gdaemon_20161017
- /data/data/####/gkt-journal
- /data/data/####/gx_sp.xml
- /data/data/####/hmdb
- /data/data/####/hmdb-journal
- /data/data/####/index
- /data/data/####/init.pid
- /data/data/####/init_c.pid
- /data/data/####/jg_app_update_settings_random.xml
- /data/data/####/journal
- /data/data/####/journal.tmp
- /data/data/####/libjiagu.so
- /data/data/####/loctemp.so
- /data/data/####/logdb.db
- /data/data/####/logdb.db-journal
- /data/data/####/main_page_sp_name.xml
- /data/data/####/me.chunyu.ChunyuDoctor_preferences.xml
- /data/data/####/me.chunyu.cyutil.os.DeviceUtils.DEVICE_PREF.xml
- /data/data/####/me.chunyu.cyutil.os.DeviceUtils.DEVICE_PREF.xml.bak
- /data/data/####/me.chunyu.cyutil.pre.VendorPref.xml
- /data/data/####/me.chunyu.message.db-journal
- /data/data/####/me.chunyu.statistic.StatisticPref.xml
- /data/data/####/multidex.version.xml
- /data/data/####/pref.xml
- /data/data/####/push.pid
- /data/data/####/pushext.db-journal
- /data/data/####/pushg.db-journal
- /data/data/####/pushsdk.db-journal
- /data/data/####/run.pid
- /data/data/####/tdata_RSQ274
- /data/data/####/tdata_RSQ274.jar
- /data/data/####/tdata_RbW195
- /data/data/####/tdata_RbW195.jar
- /data/data/####/tdata_qHR433
- /data/data/####/tdata_qHR433.jar
- /data/data/####/version.xml
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/0ba52131b681e3fe24e34c9701a542ce.0.tmp
- /data/media/####/0ba52131b681e3fe24e34c9701a542ce.1.tmp
- /data/media/####/0bdb5851bb8c6fc8254150777b56e97c.0.tmp
- /data/media/####/0bdb5851bb8c6fc8254150777b56e97c.1.tmp
- /data/media/####/0e283ba13616681f33195aeb738d132e.0.tmp
- /data/media/####/0e283ba13616681f33195aeb738d132e.1.tmp
- /data/media/####/2019-03-12
- /data/media/####/7f7ed485ef66137a973b0626c06b38e0.0.tmp
- /data/media/####/7f7ed485ef66137a973b0626c06b38e0.1.tmp
- /data/media/####/86ad0f360de5216cd9c6bf35922e2bd7.0.tmp
- /data/media/####/86ad0f360de5216cd9c6bf35922e2bd7.1.tmp
- /data/media/####/93a6e5ef0fc26cce8d886414469bdc15.0.tmp
- /data/media/####/93a6e5ef0fc26cce8d886414469bdc15.1.tmp
- /data/media/####/DailyRequestManager
- /data/media/####/LaunchRequestManager
- /data/media/####/StartPageInfo
- /data/media/####/a53ec89710ac297ee7c8587e1d1e4154.0.tmp
- /data/media/####/a53ec89710ac297ee7c8587e1d1e4154.1.tmp
- /data/media/####/abe097709c2668fc285e82a028492c14.0.tmp
- /data/media/####/abe097709c2668fc285e82a028492c14.1.tmp
- /data/media/####/app.db
- /data/media/####/b
- /data/media/####/ca636b4f04656deee59b3aca14dc16b3.0.tmp
- /data/media/####/ca636b4f04656deee59b3aca14dc16b3.1.tmp
- /data/media/####/com.getui.sdk.deviceId.db
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/current_day.bak
- /data/media/####/d
- /data/media/####/d5c1bffef2f44e7fa2ce979702129442.0.tmp
- /data/media/####/d5c1bffef2f44e7fa2ce979702129442.1.tmp
- /data/media/####/f
- /data/media/####/f43fbe901b6d09b8b09138842a17d67b.0.tmp
- /data/media/####/f43fbe901b6d09b8b09138842a17d67b.1.tmp
- /data/media/####/gkt-journal
- /data/media/####/gktper
- /data/media/####/journal.tmp
- /data/media/####/me.chunyu.ChunyuDoctor.db
- /data/media/####/step_statistic
- /data/media/####/tdata_RSQ274
- /data/media/####/tdata_RbW195
- /data/media/####/tdata_qHR433
- /data/media/####/test.log
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/files/gdaemon_20161017 0 <Package>/com.igexin.sdk.PushService 25225 300 0
- cat /sys/class/net/wlan0/address
- chmod 700 <Package Folder>/files/gdaemon_20161017
- chmod 755 <Package Folder>/files/libjiagu.so
- mount
- sh <Package Folder>/files/gdaemon_20161017 0 <Package>/com.igexin.sdk.PushService 25225 300 0
Загружает динамические библиотеки:
- andfix
- getuiext2
- libjiagu
- nativeutils
Использует следующие алгоритмы для шифрования данных:
- AES-CFB-NoPadding
- AES-ECB-PKCS5Padding
- RSA-ECB-PKCS1Padding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-ECB-PKCS5Padding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию о настроках APN.
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Управляет Wi-Fi-подключением.
