Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) c-h####.g####.com:80
- TCP(HTTP/1.1) norma-e####.m####.com:80
- TCP(HTTP/1.1) qin####.com.www.####.com:80
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) t####.c####.q####.####.com:80
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(HTTP/1.1) ti####.c####.l####.####.com:80
- TCP(HTTP/1.1) a####.b####.qq.com:8011
- TCP(HTTP/1.1) sdk.o####.p####.####.com:80
- TCP(TLS/1.0) api.map.b####.com:443
- TCP(TLS/1.0) o####.map.b####.com:443
- TCP(TLS/1.0) c####.m####.cn:443
- TCP(TLS/1.0) loc.map.b####.com:443
- TCP(TLS/1.0) pus####.b0.a####.com:443
- TCP sdk.o####.t####.####.com:5224
- TCP c####.g####.ig####.com:5225
- TCP smarts####.com.cn:5222
Запросы DNS:
- 7j####.c####.z0.####.com
- a####.b####.qq.com
- a####.u####.com
- and####.b####.qq.com
- api.map.b####.com
- c####.g####.ig####.com
- c####.m####.cn
- c-h####.g####.com
- i####.mw####.cn
- loc.map.b####.com
- m.mw####.cn
- norma-e####.m####.com
- o####.map.b####.com
- pub-####.qin####.com
- sdk.c####.ig####.com
- sdk.o####.p####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
- smarts####.com.cn
Запросы HTTP GET:
- norma-e####.m####.com/android/exchange/getpublickey.do
- qin####.com.www.####.com/tdata_EDT369
- t####.c####.q####.####.com/tdata_Jga153
- t####.c####.q####.####.com/tdata_Wqf010
- t####.c####.q####.####.com/tdata_bca864
- t####.c####.q####.####.com/tdata_duV457
- ti####.c####.l####.####.com/config/hz-hzv3.conf
Запросы HTTP POST:
- a####.b####.qq.com:8011/rqd/async?aid=####
- a####.u####.com/app_logs
- and####.b####.qq.com/rqd/async?aid=####
- c-h####.g####.com/api.php?format=####&t=####
- norma-e####.m####.com/push/android/external/add.do
- sdk.o####.p####.####.com/api.php?format=####&t=####
- sdk.o####.p####.####.com/api.php?format=####&t=####&d=####&k=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/1002
- /data/data/####/1004
- /data/data/####/258home_activity_element.cache
- /data/data/####/258home_banner.cache
- /data/data/####/258home_hot_shop_element_node.cache
- /data/data/####/258home_shop_type_element_node.cache
- /data/data/####/5c7652c00675a.zip.download
- /data/data/####/BD_report.db
- /data/data/####/BD_report.db-journal
- /data/data/####/BD_report.db-shm (deleted)
- /data/data/####/BD_report.db-wal
- /data/data/####/BUGLY_COMMON_VALUES.xml
- /data/data/####/MultiDex.lock
- /data/data/####/authStatus_com.puscene.client;remote.xml
- /data/data/####/bugly_db_-journal
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/com.puscene.client.BETA_VALUES.xml
- /data/data/####/com.puscene.client.MwTrack.db-journal
- /data/data/####/com.x.y.1.xml
- /data/data/####/com.x.y.2.xml
- /data/data/####/crashrecord.xml
- /data/data/####/crashrecord.xml (deleted)
- /data/data/####/currentCity
- /data/data/####/default.png
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/firll.dat
- /data/data/####/gal.db
- /data/data/####/gal.db-journal
- /data/data/####/gdaemon_20161017
- /data/data/####/getui_client_id.cachekey
- /data/data/####/getui_sp.xml
- /data/data/####/gkt-journal
- /data/data/####/gx_sp.xml
- /data/data/####/home_groups_258_V2.cache
- /data/data/####/hst.db
- /data/data/####/hst.db-journal
- /data/data/####/init.pid
- /data/data/####/init_c1.pid
- /data/data/####/libcuid.so
- /data/data/####/libjiagu-1271489437.so
- /data/data/####/localCity
- /data/data/####/local_crash_lock
- /data/data/####/multidex.version.xml
- /data/data/####/native_record_lock
- /data/data/####/netWork.sp.xml
- /data/data/####/nowaitOpen.xml
- /data/data/####/ofl.config
- /data/data/####/ofl_location.db
- /data/data/####/ofl_location.db-journal
- /data/data/####/ofl_statistics.db
- /data/data/####/ofl_statistics.db-journal
- /data/data/####/push.pid
- /data/data/####/pushext.db-journal
- /data/data/####/pushg.db-journal
- /data/data/####/pushk.db-journal
- /data/data/####/pushsdk.db-journal
- /data/data/####/run.pid
- /data/data/####/scroll.png
- /data/data/####/security_info
- /data/data/####/selected.png
- /data/data/####/sp_device.xml
- /data/data/####/tabbar_data.sp.xml
- /data/data/####/tdata_Jga153
- /data/data/####/tdata_Jga153.jar
- /data/data/####/tdata_Wqf010
- /data/data/####/tdata_Wqf010.jar
- /data/data/####/tdata_bca864
- /data/data/####/tdata_bca864.jar
- /data/data/####/tdata_duV457
- /data/data/####/tdata_duV457.jar
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/userceter_258.cache
- /data/data/####/xmpp_connect.xml
- /data/media/####/.cuid
- /data/media/####/.cuid2
- /data/media/####/.nomedia
- /data/media/####/03a53a3804c6039ae243b4e29c76699290f75eb9cabc76....0.tmp
- /data/media/####/04a5014495ed7a05faee3cbbb0f1172f140cea51a2f4f6....0.tmp
- /data/media/####/08f8edcd2a1fae60a82436e3aec14a6d33ac31955c9796....0.tmp
- /data/media/####/0c98f802feab2231bb531c44893468749c4edbf20c0d01....0.tmp
- /data/media/####/0f44d9bd16fbc5a64e890f709e154561e00ab7b378d62b....0.tmp
- /data/media/####/124497efb8edd5adab645569919c64150f971c3a56fa61....0.tmp
- /data/media/####/1752ce7313e02286475c88f9a38824aacf680279bb9a61....0.tmp
- /data/media/####/1f4e5d88a9ad680be725b314606bec30b2904928922004....0.tmp
- /data/media/####/2019-04-05.log.txt
- /data/media/####/257aa8e8ed57fce0d0dfe511ed81f8c9e951a4799122e3....0.tmp
- /data/media/####/279201794fd9c2d0b3dcc08e4439c18678df65a2e2748f....0.tmp
- /data/media/####/2f6387370b799d2f97242c394da2c2c8bb089eb34ad32e....0.tmp
- /data/media/####/41033599a19a6278bb9cc8a21a27c9bf9ca3f83e3065ed....0.tmp
- /data/media/####/52ae901c8a8dbd9ac9321241238ad10c60a57446b4e41e....0.tmp
- /data/media/####/580465bb04904b8fd7b8e7c31226d89da0613f9dfb06ce....0.tmp
- /data/media/####/5874fc376d89eec39826c80c7e3af0e5e4bb8fff11fc51....0.tmp
- /data/media/####/5cb234c6c4c00f4e28dbadfe43ddcedac155337e7a605e....0.tmp
- /data/media/####/5d55625d251154e8dd1c538cf1543e76b27bec0be229e6....0.tmp
- /data/media/####/6bc3d1e75df8c826ce9c534d6b066eed354631d8d4cd74....0.tmp
- /data/media/####/6d5766e1890f88050f254542201fcd31d8a82fb8b24343....0.tmp
- /data/media/####/749b8a64fd2fc35bbb72212df5bf65a5f10122757ab094....0.tmp
- /data/media/####/77c6bc97fbabca98f03555c3a5653fe5ea621cef8681f7....0.tmp
- /data/media/####/7c8d769fb3c613c9e30e0c6b705bc713933ab74c996cb0....0.tmp
- /data/media/####/7c940cec7c6f2d5c6f9d1491d96e9c58dc1bb2f00fdcc3....0.tmp
- /data/media/####/7d471b45d0e6af303eb790031ac0fa0ed66d6a8365e692....0.tmp
- /data/media/####/803114aebead5b1c1322bc70ebc595ca423ee4a5d62a5d....0.tmp
- /data/media/####/88e7aad5116ed58c683912c007d08602e0fc807207cceb....0.tmp
- /data/media/####/8bc830560779281bcb964a3587acd6f66fd8ee67d6ce9b....0.tmp
- /data/media/####/8ea708a462fe37714d715f3629ad7f3dff3e2d0c4ac8e8....0.tmp
- /data/media/####/9ea5578d82794a6292eece04ecbadff39a553852fd21d7....0.tmp
- /data/media/####/a25e24f29b0566c39d0e118c4611209cdc1c99b779c393....0.tmp
- /data/media/####/af1777982a10f22699f1c05e6ea9834bcbdc70324113c4....0.tmp
- /data/media/####/app.db
- /data/media/####/b33d78f068c1ecc9c4eba471e23f5f2d0ae63dd34ae7b0....0.tmp
- /data/media/####/c5cd2d6357344a1ca8a80cb0dbdd1749d9cd1d8b59fefa....0.tmp
- /data/media/####/cd8194d4484e61d85c24cc2e80674b30ead8df6604ecc0....0.tmp
- /data/media/####/cee7b8b329c7851c42a9bd96553aacf69f68e85b21f42e....0.tmp
- /data/media/####/com.getui.sdk.deviceId.db
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/com.puscene.client.bin
- /data/media/####/com.puscene.client.db
- /data/media/####/conlts.dat
- /data/media/####/d28bef041d0f73e27ccf246b4911e677f48f741b53399c....0.tmp
- /data/media/####/d81ae31734cf122e4d905bcfeb2b02a4e285e68252c4ce....0.tmp
- /data/media/####/dae5aea838d9ab8e3c3206c04b83caedc7467ca5390e9a....0.tmp
- /data/media/####/dce95a30a9f35b14dfd86ebc22b722c4e3e28f1ff7a724....0.tmp
- /data/media/####/e4ddb9fbf5de075dcaf77d60871d00001d9ac94d8ae610....0.tmp
- /data/media/####/e61c8f65f1091a456cec496b8a4d38e1b201131153513a....0.tmp
- /data/media/####/f74bf7e912895efb343f292ea62271f42c8b85b1a62cbf....0.tmp
- /data/media/####/fe11fbc3eb29de4604350ecc65926235a30d8c2ba025ac....0.tmp
- /data/media/####/gkt-journal
- /data/media/####/gktper
- /data/media/####/journal.tmp
- /data/media/####/ls.db
- /data/media/####/ls.db-journal
- /data/media/####/tdata_Jga153
- /data/media/####/tdata_Wqf010
- /data/media/####/tdata_bca864
- /data/media/####/tdata_duV457
- /data/media/####/test.log
- /data/media/####/uuid.mw
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop
- <Package Folder>/files/gdaemon_20161017 0 <Package>/<Package>.xmpp.getui.GTPushService 24805 300 0
- cat /sys/class/net/wlan0/address
- chmod 700 <Package Folder>/files/gdaemon_20161017
- getprop
- getprop ro.build.version.emui
- getprop ro.build.version.opporom
- getprop ro.miui.ui.version.name
- getprop ro.smartisan.version
- getprop ro.vivo.os.version
- mount
- sh <Package Folder>/files/gdaemon_20161017 0 <Package>/<Package>.xmpp.getui.GTPushService 24805 300 0
Загружает динамические библиотеки:
- Bugly
- getuiext3
- libjiagu-1271489437
- locSDK7a
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-CFB-NoPadding
- AES-ECB-PKCS5Padding
- AES-GCM-NoPadding
- RSA-ECB-PKCS1Padding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS5Padding
- AES-GCM-NoPadding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
