Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Осуществляет доступ к приватному интерфейсу ITelephony.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) c####.mob.com:80
- TCP(HTTP/1.1) ti####.c####.l####.####.com:80
- TCP(HTTP/1.1) c-h####.g####.com:80
- TCP(HTTP/1.1) d####.d####.mob.com:80
- TCP(HTTP/1.1) aexcep####.b####.qq.com:8012
- TCP(HTTP/1.1) t####.c####.q####.####.com:80
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(HTTP/1.1) gzc####.gzca####.com:80
- TCP(HTTP/1.1) a####.exc.mob.com:80
- TCP(HTTP/1.1) a.appj####.com:80
- TCP(HTTP/1.1) sh.wagbr####.aliyun####.com:80
- TCP(HTTP/1.1) gl####.w.kunl####.####.com:80
- TCP(HTTP/1.1) api.s####.mob.com:80
- TCP(HTTP/1.1) sdk.o####.p####.####.com:80
- TCP(TLS/1.0) gzck2se####.gzca####.com:443
- TCP(TLS/1.0) res####.a####.com:443
- TCP(TLS/1.0) 1####.217.20.78:443
- TCP sdk.o####.t####.####.com:5224
- TCP c####.g####.ig####.com:5227
Запросы DNS:
- 7j####.c####.z0.####.com
- a####.exc.mob.com
- a.appj####.com
- aexcep####.b####.qq.com
- amap####.cn-hang####.oss####.####.com
- and####.b####.qq.com
- api.s####.mob.com
- c####.g####.ig####.com
- c####.mob.com
- c-h####.g####.com
- c.sz.gt.####.com
- d####.d####.mob.com
- gzc####.gzca####.com
- gzck2se####.gzca####.com
- res####.a####.com
- sdk.c####.ig####.com
- sdk.o####.p####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
- wa####.thec####.cn
Запросы HTTP GET:
- c####.mob.com/caconf?appkey=####&plat=####&apppkg=####&appver=####&netwo...
- gl####.w.kunl####.####.com/wap/1.0.0/css/details-2a369ca66d.css
- gzc####.gzca####.com//news/news/20190318/1552915039857068826.jpg
- gzc####.gzca####.com//news/news/20190318/1552915039941062782.jpg
- gzc####.gzca####.com/news/380_190/2019/3/18/2f3e3b7a-10c1-419e-b234-881d...
- gzc####.gzca####.com/news/380_190/2019/3/18/99f78ffe-b81c-4553-822e-7828...
- gzc####.gzca####.com/news/750_375/2019/3/18/1aef3660-1ec6-47c5-b070-6599...
- gzc####.gzca####.com/news/750_375/2019/3/18/2f3e3b7a-10c1-419e-b234-881d...
- gzc####.gzca####.com/news/750_375/2019/3/18/4e33ba73-5f55-4c7c-8d90-1b00...
- gzc####.gzca####.com/news/750_375/2019/3/18/e17419bb-b32b-4bbf-8da2-7800...
- gzc####.gzca####.com/news/750_375/2019/3/18/fde3c88c-4b68-4f94-8245-8e76...
- gzc####.gzca####.com/news/ori/2019/3/15/d555bee2-d7bd-47e5-a3aa-357fe5b2...
- gzc####.gzca####.com/news/ori/2019/3/18/3278fb42-673f-4891-891a-e75afa26...
- gzc####.gzca####.com/news/ori/2019/3/18/b2b8f323-eb2a-46e1-b6fc-180ee869...
- gzc####.gzca####.com/news/ori/2019/3/7/28bcd13f-2744-4d63-a392-820ea26a1...
- gzc####.gzca####.com/news/ori/2019/3/9/8ba97f2e-62fd-4b5c-b089-7fb1c02b7...
- sh.wagbr####.aliyun####.com/sdkcoor/android/x86/libJni_wgs2gcj.so
- t####.c####.q####.####.com/tdata_RSQ274
- t####.c####.q####.####.com/tdata_RbW195
- t####.c####.q####.####.com/tdata_qHR433
- ti####.c####.l####.####.com/config/hz-hzv3.conf
Запросы HTTP POST:
- a####.exc.mob.com/errconf
- a####.exc.mob.com/errlog
- a.appj####.com/ad-service/ad/mark
- aexcep####.b####.qq.com:8012/rqd/async?aid=####
- and####.b####.qq.com/rqd/async?aid=####
- api.s####.mob.com/conf5
- api.s####.mob.com/conn
- api.s####.mob.com/data2
- api.s####.mob.com/log4
- api.s####.mob.com/snsconf
- c####.mob.com/ca
- c-h####.g####.com/api.php?format=####&t=####
- d####.d####.mob.com/dinfo
- d####.d####.mob.com/dsign
- sdk.o####.p####.####.com/api.php?format=####&t=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/.lock
- /data/data/####/.log.lock
- /data/data/####/.log.ls
- /data/data/####/.statistics
- /data/data/####/0965ffc2ac2d323092482080a0879f28fe2de8dbe594327....0.tmp
- /data/data/####/1004
- /data/data/####/32cee8bac3ac113e50d42a87bc8969efc6b3405c1bc22ca....0.tmp
- /data/data/####/3f67d3cb06124371efb9e4b9ea9c7b1ba3f947256274f7d....0.tmp
- /data/data/####/5ab3339651eb1d6a246e5c6f95fd755cfa1db1557bed515....0.tmp
- /data/data/####/72f6dfa64cf8ff4d12045aeb4eb0c86f4f61915f5ae9a71....0.tmp
- /data/data/####/7b7776a34ed8ffc6402b52098d059f6463bd6eafbee831b....0.tmp
- /data/data/####/875d3e9228425b0a82141b0abe18b224334868bf9b048fe....0.tmp
- /data/data/####/89a306b675853b41feffdeb0531aff40fc5d8dd5a9ed6bf....0.tmp
- /data/data/####/89a306b675853b41feffdeb0531aff40fc5d8dd5a9ed6bf...7f47.0
- /data/data/####/ThrowalbeLog.db-journal
- /data/data/####/b04eb7d115edc7cfd5d1e500491835c7904103d86d9c061....0.tmp
- /data/data/####/bugly_db_-journal
- /data/data/####/crashrecord.xml
- /data/data/####/d5c37eb957fbc3ad7dfe5d996e7b66d0156d87eda9702ab....0.tmp
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/dcbae359caf574aa3e50f542638659097a3486cedf69c6a....0.tmp
- /data/data/####/ed191d976fd9e9c52283160e0d73cad40f1af24929ce478....0.tmp
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/gdaemon_20161017
- /data/data/####/gzccdb1-journal
- /data/data/####/hmdb
- /data/data/####/hmdb-journal
- /data/data/####/index
- /data/data/####/init.pid
- /data/data/####/init_c.pid
- /data/data/####/jg_app_update_settings_random.xml
- /data/data/####/journal
- /data/data/####/journal.tmp
- /data/data/####/libjiagu.so
- /data/data/####/local_crash_lock
- /data/data/####/loctemp.so
- /data/data/####/logdb.db
- /data/data/####/logdb.db-journal
- /data/data/####/mob_sdk_exception_1.xml
- /data/data/####/native_record_lock
- /data/data/####/pref.xml
- /data/data/####/push.pid
- /data/data/####/pushext.db-journal
- /data/data/####/pushg.db-journal
- /data/data/####/pushsdk.db-journal
- /data/data/####/qihoo_jiagu_crash_report.xml
- /data/data/####/run.pid
- /data/data/####/security_info
- /data/data/####/share_sdk_1.xml
- /data/data/####/sharesdk.db-journal
- /data/data/####/tdata_RSQ274
- /data/data/####/tdata_RSQ274.jar
- /data/data/####/tdata_RbW195
- /data/data/####/tdata_RbW195.jar
- /data/data/####/tdata_qHR433
- /data/data/####/tdata_qHR433.jar
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/xUtils_http_cookie.db-journal
- /data/media/####/.db_accache
- /data/media/####/.db_rtcache
- /data/media/####/.dk
- /data/media/####/.duid
- /data/media/####/.globalLock
- /data/media/####/.pkg_lock
- /data/media/####/.rc_lock
- /data/media/####/alsn.db
- /data/media/####/alsn.db-journal
- /data/media/####/app.db
- /data/media/####/com.getui.sdk.deviceId.db
- /data/media/####/com.hisw.gznews.db
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/gzcc_share.png
- /data/media/####/tdata_RSQ274
- /data/media/####/tdata_RbW195
- /data/media/####/tdata_qHR433
- /data/media/####/test.log
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop
- /system/bin/sh -c type su
- <Package Folder>/files/gdaemon_20161017 0 <Package>/com.igexin.sdk.PushService 24524 300 0
- chmod 700 <Package Folder>/files/gdaemon_20161017
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- getprop
- logcat -d -v threadtime
- top -d 0 -n 1
Загружает динамические библиотеки:
- Bugly
- getuiext2
- libjiagu
- neh
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-ECB-PKCS7Padding
- AES-GCM-NoPadding
- RSA-ECB-PKCS1Padding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-ECB-NoPadding
- AES-GCM-NoPadding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Управляет Wi-Fi-подключением.
