Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) ti####.c####.l####.####.com:80
- TCP(HTTP/1.1) qin####.com.www.####.com:80
- TCP(HTTP/1.1) t####.c####.q####.####.com:80
- TCP(HTTP/1.1) m####.d####.com:80
- TCP(HTTP/1.1) a.appj####.com:80
- TCP(HTTP/1.1) cgi.con####.qq.com:80
- TCP(HTTP/1.1) c-h####.g####.com:80
- TCP(HTTP/1.1) sdk.o####.p####.####.com:80
- TCP(HTTP/1.1) pi####.qq.com:80
- TCP(TLS/1.0) api.w####.com:443
- TCP(TLS/1.0) h####.b####.com:443
- TCP sdk.o####.t####.####.com:5224
- TCP c####.g####.ig####.com:5225
Запросы DNS:
- 7j####.c####.z0.####.com
- a.appj####.com
- api.w####.com
- c####.g####.ig####.com
- c-h####.g####.com
- cgi.con####.qq.com
- h####.b####.com
- m####.d####.com
- pi####.qq.com
- pub-####.qin####.com
- sdk.c####.ig####.com
- sdk.o####.p####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
Запросы HTTP GET:
- cgi.con####.qq.com/qqconnectopen/openapi/policy_conf?sdkv=####&appid=###...
- m####.d####.com/images/cover3.png
- qin####.com.www.####.com/tdata_EDT369
- t####.c####.q####.####.com/tdata_AXX896
- t####.c####.q####.####.com/tdata_BAI450
- t####.c####.q####.####.com/tdata_IcB528
- ti####.c####.l####.####.com/config/hz-hzv3.conf
Запросы HTTP POST:
- a.appj####.com/ad-service/ad/mark
- c-h####.g####.com/api.php?format=####&t=####
- m####.d####.com/app/config/androidupgrade
- m####.d####.com/app/config/color
- m####.d####.com/app/config/font
- m####.d####.com/app/config/index
- m####.d####.com/app/config/template
- pi####.qq.com/mstat/report
- sdk.o####.p####.####.com/api.php?format=####&t=####
- sdk.o####.p####.####.com/api.php?format=####&t=####&d=####&k=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/010ca6026ddd33594a89a5aaedd58f15
- /data/data/####/07efe8cf663beec9615e20b7550ab4b8
- /data/data/####/0a9432d51e82d1c7f23d4ddc161d4220
- /data/data/####/0aab722c2e10886d9e746be1ec26c2db
- /data/data/####/0e7df9af8d4299d6857017107df1141b
- /data/data/####/0ee903625f2f97512cbb7fb4354ddc73
- /data/data/####/0fc5f3194daa73bbf7606ad7212b05e6
- /data/data/####/0fe55fac3a232e8a75ec44f46fdb065c
- /data/data/####/1554780167392
- /data/data/####/1554780167426
- /data/data/####/199e713b51bb1eca5944da547dd4bff2
- /data/data/####/23339c179452c0a982575032fa7f98b8
- /data/data/####/244b5d4d1a57fbb949f23de2d4a773e8
- /data/data/####/277f0fcd7f5380aae22e1d0d9ae278f2
- /data/data/####/27cb9543e8407e1a0c59354fc98a6f9d
- /data/data/####/27f4e8b40781364ac7d8379844ed11ae
- /data/data/####/28d60ec4dc7c74ff5816af86b9582288
- /data/data/####/2aaa5fb49b2b37e8fcac602fcdaf17be
- /data/data/####/2d7c4110d327e6af0e5fabee5e0484ee
- /data/data/####/2ef7728254f31acf17c1120762727a4d
- /data/data/####/306de4211fd143286bd59640f37f1e03
- /data/data/####/309d7612ae57cc6f14caf231e0639a88
- /data/data/####/31bb99426746979fe2f04c5ad4e1aacf
- /data/data/####/323026a6ce5e76190960b5b867b72677
- /data/data/####/34b6108d58b244a912cbe428f3c6834b
- /data/data/####/34ecd4572a974d89ee033d0f69137c0d
- /data/data/####/36b83969646f4bef49b0473e8545bc1a
- /data/data/####/37233f9e4c46e839c8910601979490da
- /data/data/####/395428402876307f07dda06faec12ae9
- /data/data/####/3db7941cdaac96a80880afc5721f9e8e
- /data/data/####/3fd0ba8acdb2393ebfec6dbd9bfb0a85
- /data/data/####/401944b7b9b8eec7d21c742578d5315b
- /data/data/####/402242980e785d8f1cd1c902c79822ae
- /data/data/####/40d198dd37f0cd070ccec9b3d43eb72f
- /data/data/####/4a8688360d840892c2e268d141d26f3619d9f4ebe704240....0.tmp
- /data/data/####/50adb805a68426ba9a51ac43634cf71d7cba37744a13e2a....0.tmp
- /data/data/####/5388029a01890b34b7874cd6a3370555
- /data/data/####/55e56440001ef0d3405dae88991b576d
- /data/data/####/564e9d5746c44caf09a49a7d7b8d86e2
- /data/data/####/573d8af4ae1434295334ec886677d3a0
- /data/data/####/5c6964801022a270e418c7313579df12
- /data/data/####/5df078c49b595b4dddaf1837bad2ccdd
- /data/data/####/60328f3cf3c1b5dabc392f5a01abb503
- /data/data/####/61e84bb6190da3ff7f1204262da642479bf99da63ba68cc....0.tmp
- /data/data/####/64ac5cf836079a6aac429e65a4b35ce9
- /data/data/####/670f30f3923893d0b93c6a14ca8ab7c4
- /data/data/####/68daa4e8b594ecfb08afb1e8348972b7
- /data/data/####/6dfd4d6c0a0aafb76fed8197329a7f36ec7e57a7eea86e3....0.tmp
- /data/data/####/6dfd4d6c0a0aafb76fed8197329a7f36ec7e57a7eea86e3...7ab7.0
- /data/data/####/70cf7df3f938e8a57903dd3f71bedd88
- /data/data/####/724baacf63f48120ed8152c2561d3af5
- /data/data/####/731fbf250717b7097f71013f70080ed0
- /data/data/####/7651f4a79ae8607314f17c6c5c923d4a
- /data/data/####/76c1e095f33fd70e1f6166ae1d27acaf
- /data/data/####/776cb9019c8e9b19fdcb11d64723cb7d
- /data/data/####/7c53939ea0958a945e6896d58905c36c
- /data/data/####/7ed8bca5503d65a01d4975571af29056
- /data/data/####/80a9ea04c5458aa510d6267ed1c5c475
- /data/data/####/844960302062121e54070f7d7afae08c
- /data/data/####/8478d5d263eae68b5326122127c2aabe
- /data/data/####/852d33b0c105d8dca9152ee0001459ea
- /data/data/####/869b89a80e830ed0451bce106000d98f
- /data/data/####/8784e105f35cb2afdbb982559ed9d02f
- /data/data/####/8857ab5582c986491dce85cea053a702
- /data/data/####/8e31ecc57d37f9294f4b5ebbde3dd347
- /data/data/####/8e71669a13028663aac11dfe37a542d4
- /data/data/####/90a85fe60256b628493c54fe7ec38ce5
- /data/data/####/9176e5842dba44553f9c7d4b6fbee3d3
- /data/data/####/91e10f27e686806a0a7a7e60b0d630f7
- /data/data/####/9202dcf0a29d1afed590d86c0df4713d
- /data/data/####/928ae5e7c1255c158dd9e0b28cd55bd7
- /data/data/####/93b82c0b6325
- /data/data/####/93c3d1771ebde09dfad7d06900eeff1f
- /data/data/####/93f9e2bdcca63d3a7be7fdfbb5f91ca8
- /data/data/####/94674d26745fe294b403a44889c7bffd
- /data/data/####/97326a728385a71cb6872f6d11936b0e
- /data/data/####/98e06dbcb0ac0867320af48658e1afca
- /data/data/####/9dba529445d8a58f789ac048d7a8a59a
- /data/data/####/Mz.db-journal
- /data/data/####/__Baidu_Stat_SDK_SendRem.xml
- /data/data/####/__local_ap_info_cache.json
- /data/data/####/__local_last_session.json
- /data/data/####/__local_stat_cache.json
- /data/data/####/__send_data_1554780160948
- /data/data/####/a08ee53a57ba869e29f89e781b9a502a
- /data/data/####/a0a32585a64e5500284bf8acbb16729b
- /data/data/####/a2c721ede8b5881f2507e8eed8fdea69
- /data/data/####/a55032a769bebd2e611e8094a7f8bb36
- /data/data/####/a6ba9d239f1dd034ad247dd5072daaec
- /data/data/####/a6cc9cc51104c68e023cb053477f494f
- /data/data/####/a83b5c7cb953fe4aa680cfa513e2a5b1
- /data/data/####/abebec27ae46e988fc948ece68eb3e65
- /data/data/####/ad4bccd15c63b3e3b5cbd37d18891f86
- /data/data/####/b1dcabbb798936806a325da07072805d
- /data/data/####/b27bf1981c1c7c266226fa693265242b
- /data/data/####/b36332d5cce0fe24cc4718165f08d014
- /data/data/####/b6c6d2e734e01334866fea44a6002733
- /data/data/####/b97f41d7b5bf024ebd03a29c024607bf
- /data/data/####/b99b09d519406425c8fec48561f8574d
- /data/data/####/bafe846b00a8944b894784e1a664b8b8
- /data/data/####/bb484c8f5e7c94503073a89c64edfa06
- /data/data/####/c2d1c9e225009951559ef4de5a6ca014
- /data/data/####/c798a4fbc364427cd733975297c34309
- /data/data/####/c79db6bbdcd41a7fa24f52b10152679a
- /data/data/####/cd1d807af08d5584760f96bd4b7eab37
- /data/data/####/cec5c513df81db22f94a7f184ee0165f
- /data/data/####/ced50c4753b537d6677e8ac71fe38df6
- /data/data/####/cf9594c96b534618c2f994bc2de31356
- /data/data/####/cfcb56c84a69a49c7de7b3534ef0bc8f
- /data/data/####/com.deyi.meizi_preferences.xml
- /data/data/####/com.tencent.open.config.json.1105841576
- /data/data/####/d61aac8ab0ce46015bd80093cd2c62c1
- /data/data/####/da36c7ded3f42ba47354d5f5c3f70ced
- /data/data/####/ddce0670877b030cf2d8052d5b5d67ca
- /data/data/####/df05f114fd30fb1dfa6de28853a1e237
- /data/data/####/dfb991ea473f61bab2cee42b909de968
- /data/data/####/e3f210f765243b1329ce3fef6301b0d8
- /data/data/####/e83eb3e60ba86ad85f027cb1fe87608c
- /data/data/####/e877aca4f1041c70fe16c653d7ce9a51
- /data/data/####/e9ea2e98a5676cb8bce892f802ba80f9
- /data/data/####/eab49861fbba6236a1ad3e576410a910
- /data/data/####/ef256918d16e717fba863c934c45bf07
- /data/data/####/f1eaadb1076169b8a9c2bd7aac1e9f7b
- /data/data/####/f57c74a95c280a70a547f45b35e344e8
- /data/data/####/f706dfbac2f3a0a6424f464faf6fc979
- /data/data/####/f745b8280a1155cd50e28e75e7c3a8c7
- /data/data/####/f7bad6ea15c9c8ccd0864d9cfeed656b
- /data/data/####/fad1a695501de0f86eacbd4a7c4b0957
- /data/data/####/fccc7a0f288c310adcb5139f4c2da8bd
- /data/data/####/fd2dd4952402e2a19a31017b74794eba
- /data/data/####/fed33f79b67792287b1ed17a0eeac8df
- /data/data/####/gdaemon_20161017
- /data/data/####/getui_sp.xml
- /data/data/####/gkt-journal
- /data/data/####/gx_sp.xml
- /data/data/####/init.pid
- /data/data/####/init_c1.pid
- /data/data/####/jg_app_update_settings_random.xml
- /data/data/####/journal.tmp
- /data/data/####/libcuid.so
- /data/data/####/libjiagu.so
- /data/data/####/push.pid
- /data/data/####/pushext.db-journal
- /data/data/####/pushg.db-journal
- /data/data/####/pushsdk.db-journal
- /data/data/####/run.pid
- /data/data/####/tdata_AXX896
- /data/data/####/tdata_AXX896.jar
- /data/data/####/tdata_BAI450
- /data/data/####/tdata_BAI450.jar
- /data/data/####/tdata_IcB528
- /data/data/####/tdata_IcB528.jar
- /data/data/####/tencent_analysis.db-journal
- /data/data/####/weibo_sdk_aid1
- /data/media/####/.confd
- /data/media/####/.confd-journal
- /data/media/####/.cuid
- /data/media/####/.cuid2
- /data/media/####/.timestamp
- /data/media/####/app.db
- /data/media/####/com.deyi.meizi.bin
- /data/media/####/com.deyi.meizi.db
- /data/media/####/com.getui.sdk.deviceId.db
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/gkt-journal
- /data/media/####/gktper
- /data/media/####/tdata_AXX896
- /data/media/####/tdata_BAI450
- /data/media/####/tdata_IcB528
- /data/media/####/test.log
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
- <Package Folder>/files/gdaemon_20161017 0 <Package>/<Package>.view.service.PushService 24380 300 0
- cat /sys/class/net/wlan0/address
- chmod 700 <Package Folder>/files/gdaemon_20161017
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- mount
Загружает динамические библиотеки:
- MtaNativeCrash
- crash_analysis
- getuiext2
- libjiagu
- weibosdkcore
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CFB-NoPadding
- AES-ECB-PKCS5Padding
- RSA-ECB-PKCS1Padding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-ECB-PKCS5Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию о настроках APN.
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
