Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) ser####.dc####.net.cn:80
- TCP(HTTP/1.1) norma-e####.m####.com:80
- TCP(HTTP/1.1) c-h####.g####.com:80
- TCP(HTTP/1.1) oss.app.ew####.com:80
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(HTTP/1.1) ti####.c####.l####.####.com:80
- TCP(HTTP/1.1) aexcep####.b####.qq.com:8012
- TCP(HTTP/1.1) sdk.o####.p####.####.com:80
- TCP(HTTP/1.1) t####.c####.q####.####.com:80
- TCP(TLS/1.0) api.map.b####.com:443
- TCP(TLS/1.0) app.ew####.com:443
- TCP(TLS/1.0) ser####.dc####.net.cn:443
- TCP sdk.o####.t####.####.com:5224
- TCP c####.g####.ig####.com:5224
Запросы DNS:
- 7j####.c####.z0.####.com
- aexcep####.b####.qq.com
- and####.b####.qq.com
- api.map.b####.com
- app.ew####.com
- c####.g####.ig####.com
- c-h####.g####.com
- norma-e####.m####.com
- oss.app.ew####.com
- pub-####.qin####.com
- sdk.c####.ig####.com
- sdk.o####.p####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
- ser####.dc####.net.cn
- www.dc####.io
Запросы HTTP GET:
- norma-e####.m####.com/android/exchange/getpublickey.do
- oss.app.ew####.com/package/<Package>_2.3.2_build_620.wgt
- ser####.dc####.net.cn/urd.json?v=####
- t####.c####.q####.####.com/tdata_Jga153
- t####.c####.q####.####.com/tdata_Wqf010
- t####.c####.q####.####.com/tdata_bca864
- t####.c####.q####.####.com/tdata_duV457
- ti####.c####.l####.####.com/config/hz-hzv3.conf
- ti####.c####.l####.####.com/tdata_EDT369
Запросы HTTP POST:
- aexcep####.b####.qq.com:8012/rqd/async
- and####.b####.qq.com/rqd/async
- c-h####.g####.com/api.php?format=####&t=####
- norma-e####.m####.com/push/android/external/add.do
- sdk.o####.p####.####.com/api.php?format=####&t=####
- sdk.o####.p####.####.com/api.php?format=####&t=####&d=####&k=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imei.txt
- /data/data/####/0.2073867ec8c9bc3c17c7.js
- /data/data/####/1.684baba.jpg
- /data/data/####/1.da7165ec3b2e101edd42.js
- /data/data/####/1.f6e9a427ec91842e6e2d.js
- /data/data/####/10.c9542ae0f835587e55a5.js
- /data/data/####/10.e1994a7ad6494388e6d4.js
- /data/data/####/11.3de39e9011b276517242.js
- /data/data/####/11.a60687d066a6b853f774.js
- /data/data/####/12.0272b0850f9e4c25cb34.js
- /data/data/####/12.04b3f1aaa3bd386982a7.js
- /data/data/####/13.14e715f3a7d88328e0f2.js
- /data/data/####/13.5080b6a3ac26d7298476.js
- /data/data/####/14.2ebd26e15f0d97469c5a.js
- /data/data/####/14.75288466480e99ee7114.js
- /data/data/####/15.309b1f3f30e64d6e320e.js
- /data/data/####/15.af9610e1673be6b0feb2.js
- /data/data/####/16.421b05fd1cdb0dd6cf01.js
- /data/data/####/16.6dd0b4cbfeb05e963b9a.js
- /data/data/####/17.9543da2a4295ea61b48a.js
- /data/data/####/17.ae6b7a8f742ede14c70c.js
- /data/data/####/18.0385d5dc9c33e53cbe67.js
- /data/data/####/18.cb947b500131f8671d8a.js
- /data/data/####/19.2c46c9aac38a4ffa734f.js
- /data/data/####/19.f0733a9f3d79975bbf40.js
- /data/data/####/2.209c1d5.jpg
- /data/data/####/2.aea8fc927a46ca96324c.js
- /data/data/####/2.f1c3a13931def6375783.js
- /data/data/####/20.92668be0f98f99e42af1.js
- /data/data/####/20.fe6ab1072d40ea9b5adf.js
- /data/data/####/21.7d612d5a4bc33face8a2.js
- /data/data/####/21.bd748556c3b24f9edf2b.js
- /data/data/####/22.0b7b46c1eaf5d0f7cd4f.js
- /data/data/####/22.8625cb7590e207fb3445.js
- /data/data/####/23.04fada370964e0c245a8.js
- /data/data/####/23.d572458006120277763b.js
- /data/data/####/24.0c2f1d34cdf6f7125395.js
- /data/data/####/24.404f35e3cae0f3d85d93.js
- /data/data/####/25.6f9cc4c207cf7acead6c.js
- /data/data/####/25.fd964ac9c6e2535397dd.js
- /data/data/####/26.c90e14647ab9d7628e87.js
- /data/data/####/26.f13a8c5ea81d476fc92b.js
- /data/data/####/27.2d11392deb96e251017e.js
- /data/data/####/27.9808a56095192fcb87a2.js
- /data/data/####/27aab7680a59
- /data/data/####/28.71b1c3e758a78b65549f.js
- /data/data/####/28.ada2b629b04176e95566.js
- /data/data/####/29.abe15696f31606fc9e41.js
- /data/data/####/29.ae9bec906e42b1e5eb6a.js
- /data/data/####/3.193c7fd50ac9f05db4d2.js
- /data/data/####/3.86b8285.jpg
- /data/data/####/3.fbd91a66fea23cd3db7f.js
- /data/data/####/30.a33a8d4e4a7674f4d311.js
- /data/data/####/30.ba245d2d5ef37f1897ca.js
- /data/data/####/31.25a89ae465cac503ce68.js
- /data/data/####/31.b3ee7bc0396babc5a8af.js
- /data/data/####/32.01ea1f4e5629e95928c8.js
- /data/data/####/32.0249791f0fe89f43743a.js
- /data/data/####/33.bc22e674510dad312455.js
- /data/data/####/33.c119f03fc397217c0857.js
- /data/data/####/34.27556a3d0ef7ad7f8c41.js
- /data/data/####/34.2d3bc5ef8b842aef80d2.js
- /data/data/####/35.57ec38ff6887a3503e26.js
- /data/data/####/35.5bf111bf2bd4c7ab5635.js
- /data/data/####/36.9ad5572f328336469124.js
- /data/data/####/36.d47ed9f435921b25b22b.js
- /data/data/####/37.2ae37c01cd8abd2e20eb.js
- /data/data/####/37.b3cb6606cbda1ba578f8.js
- /data/data/####/38.2554270c2ba9126d58dc.js
- /data/data/####/38.a27fa6877bc08ef26024.js
- /data/data/####/39.781e60dc23ab3b0c2e42.js
- /data/data/####/39.7cbbc1cda57b7b03b790.js
- /data/data/####/4-1-muli.b089e08.jpg
- /data/data/####/4.41bf95026295e6484610.js
- /data/data/####/4.fa9a488f65f815d8c19d.js
- /data/data/####/40.086cfec5e17a7061916d.js
- /data/data/####/5+.png
- /data/data/####/5.7f80130526863bba338a.js
- /data/data/####/5.b2975bb1b989906441b9.js
- /data/data/####/6.4f5ef6aa6148db628730.js
- /data/data/####/6.6a283746bc02f47f1f0c.js
- /data/data/####/7.6a8eb09e1febf1197d70.js
- /data/data/####/7.8945a0213e8638517485.js
- /data/data/####/8.54e91c66da30a66ca7fb.js
- /data/data/####/8.6c7f83065eaf40acf98d.js
- /data/data/####/9.6de00ccb11bf9b8e7f2a.js
- /data/data/####/9.c088d33c53c474ae4d55.js
- /data/data/####/_adio.dcloud.feature.ad.a.a.xml
- /data/data/####/app.256c78de46cdee39a4e244cf1ca86d9e.css
- /data/data/####/app.4a5cbf98e109f3656157d103ed054c84.css
- /data/data/####/app.65f6d354933e4bf025fd.js
- /data/data/####/app.dafeb13fd1243d3f0396.js
- /data/data/####/application-active.svg
- /data/data/####/application.svg
- /data/data/####/approval.3917c2d.png
- /data/data/####/authStatus_com.ewsedu.ehome.xml
- /data/data/####/banjiang.61166d6.jpg
- /data/data/####/bridge.js
- /data/data/####/bugly_db_legu-journal
- /data/data/####/class.139ecfc.png
- /data/data/####/classes.087aae7.png
- /data/data/####/classes_score.5d0dfb6.png
- /data/data/####/com.ewsedu.ehome.xml
- /data/data/####/com.ewsedu.ehome_download_dcloud.xml
- /data/data/####/com.ewsedu.ehome_storages.xml
- /data/data/####/com.x.y.1.xml
- /data/data/####/com.x.y.2.xml
- /data/data/####/common.css
- /data/data/####/common.js
- /data/data/####/contact-active.svg
- /data/data/####/contact.svg
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/default.bd58853.png
- /data/data/####/edition1.1a5f5f7.jpg
- /data/data/####/eje3cnc
- /data/data/####/gdaemon_20161017
- /data/data/####/getui-plugin.js
- /data/data/####/getui_sp.xml
- /data/data/####/gkt-journal
- /data/data/####/grade.e115ced.png
- /data/data/####/gx_sp.xml
- /data/data/####/home.html
- /data/data/####/home.js
- /data/data/####/icon.png
- /data/data/####/iconfont.4afe8c7.eot
- /data/data/####/iconfont.57c8a60.svg
- /data/data/####/iconfont.977c4ee.svg
- /data/data/####/iconfont.a1ce529.woff
- /data/data/####/iconfont.eb28e44.ttf
- /data/data/####/imagePlaceholder.88618a6.png
- /data/data/####/index
- /data/data/####/index.html
- /data/data/####/index.js
- /data/data/####/init.pid
- /data/data/####/init_c1.pid
- /data/data/####/launchBg.jpg
- /data/data/####/leave.d58138d.png
- /data/data/####/libcuid.so
- /data/data/####/libnfix.so
- /data/data/####/libshella-3.0.0.0.so
- /data/data/####/libufix.so
- /data/data/####/loader.js
- /data/data/####/local_crash_lock
- /data/data/####/login-bg.62a5366.png
- /data/data/####/logo.png
- /data/data/####/logoTeacher.612f6de.png
- /data/data/####/logoTitle.5985d81.png
- /data/data/####/manifest.b7a904a758e5c7e82783.js
- /data/data/####/manifest.c3bf439a52331f1a5112.js
- /data/data/####/manifest.json
- /data/data/####/mark.3e4adea.png
- /data/data/####/message-active.svg
- /data/data/####/message.svg
- /data/data/####/mix.dex
- /data/data/####/money.249f1e0.png
- /data/data/####/monitor.f8f3fd0.png
- /data/data/####/mui.css
- /data/data/####/mui.js
- /data/data/####/mui.min.js
- /data/data/####/mui.ttf
- /data/data/####/my-active.svg
- /data/data/####/my.svg
- /data/data/####/native_record_lock
- /data/data/####/none.054f81f.png
- /data/data/####/office.43bae7d.png
- /data/data/####/package.json
- /data/data/####/pdr.xml
- /data/data/####/phrase-banner.7e7d3f1.jpg
- /data/data/####/phrase-competition.0e113c6.jpg
- /data/data/####/phrase-result.cddda77.jpg
- /data/data/####/plus.js
- /data/data/####/push.pid
- /data/data/####/pushext.db-journal
- /data/data/####/pushg.db-journal
- /data/data/####/pushk.db-journal
- /data/data/####/pushsdk.db-journal
- /data/data/####/recharge.42d6b0a.png
- /data/data/####/recipe.926fda8.png
- /data/data/####/run.pid
- /data/data/####/search.0f7fe59.svg
- /data/data/####/security_info
- /data/data/####/sign.10a054c.svg
- /data/data/####/start.html
- /data/data/####/start_statistics_data.xml
- /data/data/####/stream_permission.xml
- /data/data/####/tdata_Jga153
- /data/data/####/tdata_Jga153.jar
- /data/data/####/tdata_Wqf010
- /data/data/####/tdata_Wqf010.jar
- /data/data/####/tdata_bca864
- /data/data/####/tdata_bca864.jar
- /data/data/####/tdata_duV457
- /data/data/####/tdata_duV457.jar
- /data/data/####/team.127ee61.png
- /data/data/####/test-inner.js
- /data/data/####/test.js
- /data/data/####/test_app
- /data/data/####/vendor.960a89156e1fc575612d.js
- /data/data/####/vendor.bundle.js
- /data/data/####/vendor.ef23f1b9da6f6b86c15b.js
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/webviewCookiesChromiumPrivate.db-journal
- /data/data/####/work.b2f55bc.png
- /data/media/####/.cuid
- /data/media/####/.cuid2
- /data/media/####/.imei.txt
- /data/media/####/.nomedia
- /data/media/####/2019-04-06.log.txt
- /data/media/####/app.db
- /data/media/####/com.ewsedu.ehome.bin
- /data/media/####/com.ewsedu.ehome.db
- /data/media/####/com.ewsedu.ehome_2.3.2_build_620.wgt
- /data/media/####/com.getui.sdk.deviceId.db
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/gkt-journal
- /data/media/####/gktper
- /data/media/####/tdata_Jga153
- /data/media/####/tdata_Wqf010
- /data/media/####/tdata_bca864
- /data/media/####/tdata_duV457
- /data/media/####/test.log
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop ro.aa.romver
- /system/bin/sh -c getprop ro.board.platform
- /system/bin/sh -c getprop ro.build.fingerprint
- /system/bin/sh -c getprop ro.build.nubia.rom.name
- /system/bin/sh -c getprop ro.build.rom.id
- /system/bin/sh -c getprop ro.build.tyd.kbstyle_version
- /system/bin/sh -c getprop ro.build.version.emui
- /system/bin/sh -c getprop ro.build.version.opporom
- /system/bin/sh -c getprop ro.gn.gnromvernumber
- /system/bin/sh -c getprop ro.lenovo.series
- /system/bin/sh -c getprop ro.lewa.version
- /system/bin/sh -c getprop ro.meizu.product.model
- /system/bin/sh -c getprop ro.miui.ui.version.name
- /system/bin/sh -c getprop ro.vivo.os.build.display.id
- /system/bin/sh -c type su
- <Package Folder>/files/gdaemon_20161017 0 <Package>/com.getui.plugins.DemoPushService 24590 300 0
- cat /sys/class/net/wlan0/address
- chmod 700 <Package Folder>/files/gdaemon_20161017
- chmod 700 <Package Folder>/tx_shell/libnfix.so
- chmod 700 <Package Folder>/tx_shell/libshella-3.0.0.0.so
- chmod 700 <Package Folder>/tx_shell/libufix.so
- getprop ro.aa.romver
- getprop ro.board.platform
- getprop ro.build.fingerprint
- getprop ro.build.nubia.rom.name
- getprop ro.build.rom.id
- getprop ro.build.tyd.kbstyle_version
- getprop ro.build.version.emui
- getprop ro.build.version.opporom
- getprop ro.gn.gnromvernumber
- getprop ro.lenovo.series
- getprop ro.lewa.version
- getprop ro.meizu.product.model
- getprop ro.miui.ui.version.name
- getprop ro.vivo.os.build.display.id
- getprop ro.yunos.version
- logcat -d -v threadtime
- mount
- sh <Package Folder>/files/gdaemon_20161017 0 <Package>/com.getui.plugins.DemoPushService 24590 300 0
Загружает динамические библиотеки:
- BaiduMapSDK_base_v5_2_1
- Bugly
- getuiext3
- libnfix
- libshella-3.0.0.0
- libufix
- nfix
- ufix
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CFB-NoPadding
- AES-ECB-PKCS5Padding
- AES-GCM-NoPadding
- RSA-ECB-PKCS1Padding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-ECB-PKCS5Padding
- AES-GCM-NoPadding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
