Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Осуществляет доступ к приватному интерфейсу ITelephony.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) t####.api.m####.com:80
- TCP(HTTP/1.1) ti####.c####.l####.####.com:80
- TCP(HTTP/1.1) aphone-####.d####.m####.com:80
- TCP(HTTP/1.1) ap####.log.m####.com:80
- TCP(HTTP/1.1) t####.c####.q####.####.com:80
- TCP(HTTP/1.1) pi####.qq.com:80
- TCP(HTTP/1.1) c-h####.g####.com:80
- TCP(HTTP/1.1) down####.i####.tv:80
- TCP(HTTP/1.1) qin####.com.www.####.com:80
- TCP(HTTP/1.1) sdk-ope####.g####.com:80
- TCP(HTTP/1.1) noah-pi####.c####.myqc####.com:80
- TCP(HTTP/1.1) cgi.con####.qq.com:80
- TCP(TLS/1.0) 1####.217.17.142:443
- TCP(TLS/1.0) api.w####.com:443
- TCP(TLS/1.0) api.meish####.com:443
- TCP(TLS/1.0) t####.api.m####.com:443
- TCP 43.2####.145.67:5226
- TCP sdk.o####.t####.####.com:5224
- TCP cloudco####.mta.qq.com:4002
- TCP t####.nz4.ig####.com:5224
- TCP 43.2####.145.4:5227
- TCP t####.nz4.ge####.com:5224
Запросы DNS:
- 7j####.c####.z0.####.com
- ap####.log.m####.com
- aphone-####.d####.m####.com
- api.meish####.com
- api.w####.com
- c-h####.g####.com
- cgi.con####.qq.com
- cloudco####.mta.qq.com
- down####.i####.tv
- noah-pi####.c####.myqc####.com
- pi####.qq.com
- pub-####.qin####.com
- sdk-ope####.g####.com
- sdk.c####.ig####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
- t####.api.m####.com
- t####.nz4.g####.net
- t####.nz4.ge####.com
- t####.nz4.ig####.com
Запросы HTTP GET:
- aphone-####.d####.m####.com/rec.php?to=####&sid=####&sdid=####&mod=####&...
- cgi.con####.qq.com/qqconnectopen/openapi/policy_conf?sdkv=####&appid=###...
- down####.i####.tv/noah/resource/qiezi.1.0.20.apk
- noah-pi####.c####.myqc####.com/20190319/77b04805595e4db8ab19f518c14905e1...
- noah-pi####.c####.myqc####.com/20190319/a9c657f14bb640f8b11016bbc7536d8e...
- noah-pi####.c####.myqc####.com/20190320/0a3d6507804448e390fd9a77ae301586...
- noah-pi####.c####.myqc####.com/20190323/871cf23a469c43fb8ff95232f547672b...
- noah-pi####.c####.myqc####.com/20190326/d46664898c984fa4a81683cce3d293a8...
- qin####.com.www.####.com/tdata_EDT369
- t####.api.m####.com/tiny/v1/app/upgrade?sid=####&osVersion=####&phoneTyp...
- t####.api.m####.com/tiny/v1/discovery/banner?sid=####&osVersion=####&pho...
- t####.api.m####.com/tiny/v1/discovery/list?pageNum=####&sid=####&osVersi...
- t####.api.m####.com/tiny/v1/global/config?sid=####&osVersion=####&phoneT...
- t####.c####.q####.####.com/tdata_FhD658
- t####.c####.q####.####.com/tdata_mpY630
- t####.c####.q####.####.com/tdata_ngv385
- t####.c####.q####.####.com/tdata_vHH584
- ti####.c####.l####.####.com/config/bj-bjv6.conf
- ti####.c####.l####.####.com/config/hz-bjv6.conf
Запросы HTTP POST:
- ap####.log.m####.com/v2/info?sid=####&osVersion=####&phoneType=####&osty...
- c-h####.g####.com/api.php?format=####&t=####
- pi####.qq.com/mstat/report/?index=####
- sdk-ope####.g####.com/api.php?format=####&t=####
- sdk-ope####.g####.com/api.php?format=####&t=####&d=####&k=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/02B33530-8663-4A01-A6F1-C9DAB3322590.assetpackage
- /data/data/####/03A33A7A-3C75-45EB-8BBB-59689E6E952F.assetpackage
- /data/data/####/0AAEBEA9-D9DE-474C-800E-E82A5BC0215F.assetpackage
- /data/data/####/1.caf
- /data/data/####/10CB421A-9DE7-47CD-87F0-9E87A4C9CCA2.assetpackage
- /data/data/####/117C6FA4-EF71-4A63-9737-1AF9D47163A0.assetpackage
- /data/data/####/1CEE3777-A813-4378-AD52-7B264BD0CC4D.assetpackage
- /data/data/####/1E93E9CE-7EE4-4BF8-8358-EB01B3A85CC9.assetpackage
- /data/data/####/327D2618-74B5-4F44-B76B-5E2E62A5870C.assetpackage
- /data/data/####/4BDF9CB7-1D18-4D54-A411-1ECC9C6B0D08.assetpackage
- /data/data/####/4EFE3455-C58D-499C-B311-D445F752D567.assetpackage
- /data/data/####/51986EDA-1D6F-4C6C-961C-1891ECB83E30.assetpackage
- /data/data/####/54AF7AFF-DE1E-44B0-8A54-2C8F1C58114D.assetpackage
- /data/data/####/6A226E39-A423-4F4F-92EF-9275D0CDD2EF.assetpackage
- /data/data/####/6B7BE12C-9FA1-4ED0-8E81-E107632FFBC8.assetpackage
- /data/data/####/6EdhBcYMQXb_EYLKh7zRsOun6E8.-740431738.tmp
- /data/data/####/89B2D082-5F47-4A6D-9FD0-9F1BB053F6A7.assetpackage
- /data/data/####/9092A0EF-7CE2-4458-B859-369CC36DA794.assetpackage
- /data/data/####/978E899A-92C2-4257-9E78-CDB7E20E97CF.assetpackage
- /data/data/####/9AC28816-639F-4A9B-B4BA-4060ABD229A2.assetpackage
- /data/data/####/9C1A82F8-2D16-4427-AE88-CA5164085D16.assetpackage
- /data/data/####/A8A4344D-45DA-460F-A18F-C0E2355FE864.assetpacka...leted)
- /data/data/####/A8A4344D-45DA-460F-A18F-C0E2355FE864.assetpackage
- /data/data/####/B3B3FDE1-727F-4C41-A506-3F095FF9C5D3.assetpackage
- /data/data/####/B_M_Cd0Nv0upHv-JImGnnXoQkb8.366648800.tmp
- /data/data/####/C02204D0-F3C3-495E-B65C-9F2C79E68573.assetpackage
- /data/data/####/C4E478A7-157F-4A62-9524-229D84338F66.assetpackage
- /data/data/####/CA1D1AAD-8408-4204-986F-F28565D9729B.assetpackage
- /data/data/####/CF429F74-73D6-4E06-BF40-55DE3EADEC81.assetpackage
- /data/data/####/D8A4DAC2-7233-4069-95D5-7FED9C57E925.assetpackage
- /data/data/####/MgtvCache.db
- /data/data/####/MgtvCache.db-journal
- /data/data/####/MultiDex.lock
- /data/data/####/SP_AROUTER_CACHE.xml
- /data/data/####/StatisticsData.xml
- /data/data/####/Thumbs.db
- /data/data/####/ZF.png
- /data/data/####/ZF9v16.png
- /data/data/####/block.jpg
- /data/data/####/block16v9.jpg
- /data/data/####/block1v1.jpg
- /data/data/####/blockbig.jpg
- /data/data/####/blockcolor1.jpg
- /data/data/####/blockcolor116v9.jpg
- /data/data/####/blockcolor11v1.jpg
- /data/data/####/blocklong.jpg
- /data/data/####/blocklong16v9.jpg
- /data/data/####/blocklong1v1.jpg
- /data/data/####/blockqun.jpg
- /data/data/####/blockqun16v9.jpg
- /data/data/####/blockqun1v1.jpg
- /data/data/####/blockqun2.jpg
- /data/data/####/blockqun216v9.jpg
- /data/data/####/blockqun21v1.jpg
- /data/data/####/blockqun3.jpg
- /data/data/####/blockqun316v9.jpg
- /data/data/####/blockqun31v1.jpg
- /data/data/####/blockqun4.jpg
- /data/data/####/blockqun416v9.jpg
- /data/data/####/blockqun41v1.jpg
- /data/data/####/blockqun5.jpg
- /data/data/####/blockqun516v9.jpg
- /data/data/####/blockqun51v1.jpg
- /data/data/####/blockqun6.jpg
- /data/data/####/blockqun616v9.jpg
- /data/data/####/blockqun61v1.jpg
- /data/data/####/c64f5f3ca464
- /data/data/####/com.mgtv.noah.mid.world.ro.xml
- /data/data/####/com.mgtv.noah_preferences.xml
- /data/data/####/com.mgtv.noah_preferences.xml (deleted)
- /data/data/####/com.tencent.open.config.json.1107015114
- /data/data/####/cover.jpg
- /data/data/####/cover.jpg (deleted)
- /data/data/####/damage1.png
- /data/data/####/data_lib.xml
- /data/data/####/dso_deps
- /data/data/####/dso_lock
- /data/data/####/dso_manifest
- /data/data/####/dso_state
- /data/data/####/exa1qX8xlMmEueyxlMcQzX9dETA.-1598909929.tmp
- /data/data/####/fx.xml
- /data/data/####/fx1v1.xml
- /data/data/####/fx9v16.xml
- /data/data/####/gdaemon_20161017
- /data/data/####/getui_sp.xml
- /data/data/####/gkt-journal
- /data/data/####/gx_sp.xml
- /data/data/####/h-4t9JfztX9XjaEEyYZjdXy9LFs.-645107054.tmp
- /data/data/####/hua1.png
- /data/data/####/hua2.png
- /data/data/####/hua3.png
- /data/data/####/hua4.png
- /data/data/####/huaping.jpg
- /data/data/####/info.json
- /data/data/####/init.pid
- /data/data/####/init_c1.pid
- /data/data/####/jiaopiankeli.jpg
- /data/data/####/libjiagu370567379.so
- /data/data/####/main.png
- /data/data/####/multidex.version.xml
- /data/data/####/noah_db-journal
- /data/data/####/patten.jpg
- /data/data/####/pattern7-9v16.png
- /data/data/####/pattern7.png
- /data/data/####/pattern8-9v16.jpg
- /data/data/####/pattern8.jpg
- /data/data/####/pri_tencent_analysis.db_com.mgtv.noah-journal
- /data/data/####/pri_tencent_analysis.db_com.mgtv.noah;push-journal
- /data/data/####/pri_tencent_analysis.db_com.mgtv.noah;report-journal
- /data/data/####/pt.png
- /data/data/####/pta1.jpg
- /data/data/####/ptab1.jpg
- /data/data/####/ptab2.jpg
- /data/data/####/ptab3.jpg
- /data/data/####/ptlong1.jpg
- /data/data/####/ptlong2.jpg
- /data/data/####/ptred.png
- /data/data/####/ptxi.jpg
- /data/data/####/push.pid
- /data/data/####/pushext.db-journal
- /data/data/####/pushg.db-journal
- /data/data/####/pushk.db-journal
- /data/data/####/pushsdk.db-journal
- /data/data/####/red.jpg
- /data/data/####/redhalf1.png
- /data/data/####/run.pid
- /data/data/####/tdata_FhD658
- /data/data/####/tdata_FhD658.jar
- /data/data/####/tdata_mpY630
- /data/data/####/tdata_mpY630.jar
- /data/data/####/tdata_ngv385
- /data/data/####/tdata_ngv385.jar
- /data/data/####/tdata_vHH584
- /data/data/####/tdata_vHH584.jar
- /data/data/####/tencent_analysis.db_com.mgtv.noah-journal
- /data/data/####/tencent_analysis.db_com.mgtv.noah;push-journal
- /data/data/####/tencent_analysis.db_com.mgtv.noah;report-journal
- /data/data/####/texture.jpg
- /data/data/####/tongdao.png
- /data/data/####/tongdao9v16.png
- /data/data/####/tongdaoyuan.jpg
- /data/data/####/tongdaoyuanz.jpg
- /data/data/####/weibo_sdk_aid1
- /data/data/####/www.jpg
- /data/data/####/zawlSPVFUPMbw1rra6Swrwfk2us.1447864432.tmp
- /data/media/####/.nomedia
- /data/media/####/app.db
- /data/media/####/com.getui.sdk.deviceId.db
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/com.mgtv.noah.bin
- /data/media/####/com.mgtv.noah.db
- /data/media/####/com.tencent.mobileqq_connectSdk.19.03.28.09.log
- /data/media/####/gkt
- /data/media/####/gkt-journal
- /data/media/####/gktper
- /data/media/####/qiezi.apk
- /data/media/####/tdata_FhD658
- /data/media/####/tdata_mpY630
- /data/media/####/tdata_ngv385
- /data/media/####/tdata_vHH584
- /data/media/####/test.log
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
- <Package Folder>/files/gdaemon_20161017 0 <Package>/<Package>.frameworklibrary.push.GeTuiService 24279 300 0
- cat /sys/class/net/wlan0/address
- chmod 700 <Package Folder>/files/gdaemon_20161017
- chmod 755 <Package Folder>/.jiagu/libjiagu370567379.so
- mount
Загружает динамические библиотеки:
- MtaNativeCrash_v2
- NvStreamingSdkCore
- getuiext2
- libimagepipeline
- libjiagu370567379
- nama
- weibosdkcore
Использует следующие алгоритмы для шифрования данных:
- AES-CFB-NoPadding
- AES-ECB-PKCS5Padding
- RSA-ECB-PKCS1Padding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-ECB-PKCS5Padding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию о настроках APN.
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
