Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Осуществляет доступ к приватному интерфейсу ITelephony.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) sdk.o####.p####.####.com:80
- TCP(HTTP/1.1) c-h####.g####.com:80
- TCP(HTTP/1.1) t####.c####.q####.####.com:80
- TCP(HTTP/1.1) a####.exc.mob.com:80
- TCP(HTTP/1.1) ti####.c####.l####.####.com:80
- TCP(TLS/1.0) s####.j####.cn:443
- TCP sdk.o####.t####.####.com:5224
- TCP c####.g####.ig####.com:5224
- TCP 1####.230.236.29:7006
- UDP s.j####.cn:19000
Запросы DNS:
- 7j####.c####.z0.####.com
- a####.exc.mob.com
- c####.g####.ig####.com
- c-h####.g####.com
- pub-####.qin####.com
- s####.j####.cn
- s.j####.cn
- sdk.c####.ig####.com
- sdk.o####.p####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
- up####.sdk.jig####.cn
Запросы HTTP GET:
- t####.c####.q####.####.com/tdata_Jga153
- t####.c####.q####.####.com/tdata_Wqf010
- t####.c####.q####.####.com/tdata_bca864
- t####.c####.q####.####.com/tdata_duV457
- ti####.c####.l####.####.com/config/hz-hzv3.conf
- ti####.c####.l####.####.com/tdata_EDT369
Запросы HTTP POST:
- a####.exc.mob.com/errconf
- c-h####.g####.com/api.php?format=####&t=####
- sdk.o####.p####.####.com/api.php?format=####&t=####
- sdk.o####.p####.####.com/api.php?format=####&t=####&d=####&k=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/anr/traces.txt
- /data/data/####/.duid
- /data/data/####/.jg.ic
- /data/data/####/.lock
- /data/data/####/.vpl_lock
- /data/data/####/0187ee9d-b25e-41c4-a2a7-c254f9ff7a22
- /data/data/####/09fcf971aa21
- /data/data/####/0b837625-ca75-49e2-b3eb-8fb979cdd7b0
- /data/data/####/5787dc2c-77e2-42d6-8120-1c14ba80320b
- /data/data/####/611bd651-c3d9-4f7e-a683-bb8b8d1dab02
- /data/data/####/7c82946e-51fb-4784-a4e7-e506ab9e649b
- /data/data/####/DB_DRIVER-journal
- /data/data/####/ThrowalbeLog.db-journal
- /data/data/####/appPackageNames_v2
- /data/data/####/b45885ab-232d-46c6-b872-3588074b3d35
- /data/data/####/cn.jpush.android.user.profile.xml
- /data/data/####/cn.jpush.preferences.v2.rid.xml
- /data/data/####/cn.jpush.preferences.v2.xml
- /data/data/####/domain_1
- /data/data/####/e3d31b96-0f4b-4662-a830-6dc38b54837d
- /data/data/####/e5db06b4-ec44-44e3-9192-74d38d8a24d3
- /data/data/####/gdaemon_20161017
- /data/data/####/getui_sp.xml
- /data/data/####/gkt-journal
- /data/data/####/gx_sp.xml
- /data/data/####/init.pid
- /data/data/####/init_c1.pid
- /data/data/####/jpush_device_info.xml
- /data/data/####/jpush_local_notification.db
- /data/data/####/jpush_local_notification.db-journal
- /data/data/####/jpush_local_notification.db-journal (deleted)
- /data/data/####/jpush_local_notification.db-wal
- /data/data/####/jpush_stat_cache.json
- /data/data/####/jpush_stat_cache_history.json
- /data/data/####/jpush_statistics.db
- /data/data/####/jpush_statistics.db-journal
- /data/data/####/jpush_statistics.db-shm (deleted)
- /data/data/####/jpush_statistics.db-wal
- /data/data/####/jpush_uncaughtexception_file
- /data/data/####/libjiagu1830568685.so
- /data/data/####/mob_commons_1
- /data/data/####/mob_sdk_exception_1
- /data/data/####/push.pid
- /data/data/####/pushext.db-journal
- /data/data/####/pushg.db-journal
- /data/data/####/pushk.db-journal
- /data/data/####/pushsdk.db-journal
- /data/data/####/qihoo_jiagu_crash_report.xml
- /data/data/####/run.pid
- /data/data/####/shared_preferences_driver.xml
- /data/data/####/tdata_Jga153
- /data/data/####/tdata_Jga153.jar
- /data/data/####/tdata_Wqf010
- /data/data/####/tdata_Wqf010.jar
- /data/data/####/tdata_bca864
- /data/data/####/tdata_bca864.jar
- /data/data/####/tdata_duV457
- /data/data/####/tdata_duV457.jar
- /data/media/####/.artc_lock
- /data/media/####/.di
- /data/media/####/.dic_lock
- /data/media/####/.duid
- /data/media/####/.globalLock
- /data/media/####/.im_lock
- /data/media/####/.lesd_lock
- /data/media/####/.mn_-1464060969
- /data/media/####/.nomedia
- /data/media/####/.pkg_lock
- /data/media/####/.pkgs_lock
- /data/media/####/.push_deviceid
- /data/media/####/.rc_lock
- /data/media/####/.slw
- /data/media/####/.ss_lock
- /data/media/####/.wkl
- /data/media/####/app.db
- /data/media/####/com.getui.sdk.deviceId.db
- /data/media/####/com.huage.diandiandriver.bin
- /data/media/####/com.huage.diandiandriver.db
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/crash-2019-03-17 05;37;57-1552801078958.log
- /data/media/####/crash-2019-03-17 05;38;03-1552801084392.log
- /data/media/####/crash-2019-03-17 05;38;08-1552801090647.log
- /data/media/####/crash-2019-03-17 05;38;14-1552801102694.log
- /data/media/####/crash-2019-03-17 05;38;27-1552801109412.log
- /data/media/####/crash-2019-03-17 05;38;43-1552801125897.log
- /data/media/####/crash-2019-03-17 05;38;50-1552801132405.log
- /data/media/####/gkt-journal
- /data/media/####/gktper
- /data/media/####/tdata_Jga153
- /data/media/####/tdata_Wqf010
- /data/media/####/tdata_bca864
- /data/media/####/tdata_duV457
- /data/media/####/test.log
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/files/gdaemon_20161017 0 <Package>/<Package>.push.gtpush.GTPushService 25409 300 0
- cat /sys/class/net/wlan0/address
- chmod 700 <Package Folder>/files/gdaemon_20161017
- mount
Загружает динамические библиотеки:
- getuiext3
- jcore121
- libjiagu1830568685
- msc
- pl_droidsonroids_gif
Использует следующие алгоритмы для шифрования данных:
- AES-CFB-NoPadding
- AES-ECB-PKCS5Padding
- AES-ECB-PKCS7Padding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-ECB-NoPadding
- AES-ECB-PKCS5Padding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
