Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) qin####.com.www.####.com:80
- TCP(HTTP/1.1) sdk-ope####.g####.com:80
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) aexcep####.b####.qq.com:8012
- TCP(HTTP/1.1) t####.c####.q####.####.com:80
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(HTTP/1.1) ymaccel####.oss-cn-####.aliy####.com:80
- TCP(HTTP/1.1) cgi.con####.qq.com:80
- TCP(HTTP/1.1) c-h####.g####.com:80
- TCP(TLS/1.0) api.w####.com:443
- TCP(TLS/1.0) qy-swa####.qi####.com:443
- TCP(TLS/1.0) r####.unip####.com:443
- TCP(TLS/1.0) ymaccel####.oss-cn-####.aliy####.com:443
- TCP sdk.o####.t####.####.com:5224
- TCP c####.g####.ig####.com:5227
Запросы DNS:
- 7j####.c####.z0.####.com
- a####.u####.com
- aexcep####.b####.qq.com
- and####.b####.qq.com
- api.w####.com
- c####.g####.ig####.com
- c-h####.g####.com
- cgi.con####.qq.com
- pub-####.qin####.com
- qy-swa####.qi####.com
- r####.unip####.com
- sdk-ope####.g####.com
- sdk.c####.ig####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
- ymaccel####.oss-cn-####.aliy####.com
Запросы HTTP GET:
- cgi.con####.qq.com/qqconnectopen/openapi/policy_conf?sdkv=####&appid=###...
- qin####.com.www.####.com/tdata_EDT369
- t####.c####.q####.####.com/config/hz-hzv6.conf
- t####.c####.q####.####.com/tdata_Soq141
- t####.c####.q####.####.com/tdata_fEV688
- t####.c####.q####.####.com/tdata_ilz707
- t####.c####.q####.####.com/tdata_siA393
- ymaccel####.oss-cn-####.aliy####.com/Upload/154866592237438660.png?x-oss...
- ymaccel####.oss-cn-####.aliy####.com/Upload/155005408858430912.png?x-oss...
- ymaccel####.oss-cn-####.aliy####.com/Upload/155005425477328175.png?x-oss...
- ymaccel####.oss-cn-####.aliy####.com/Upload/155315923405731118.png?x-oss...
- ymaccel####.oss-cn-####.aliy####.com/Upload/155315928077630544.png?x-oss...
- ymaccel####.oss-cn-####.aliy####.com/Upload/ad/manager/15552987813953485...
- ymaccel####.oss-cn-####.aliy####.com/Upload/ad/manager/15552987814473703...
- ymaccel####.oss-cn-####.aliy####.com/Upload/ad/manager/15552988060024169...
- ymaccel####.oss-cn-####.aliy####.com/Upload/ad/manager/15553119173214808...
- ymaccel####.oss-cn-####.aliy####.com/Upload/ad/manager/15553119524743210...
- ymaccel####.oss-cn-####.aliy####.com/Upload/ad/manager/15553119827281003...
- ymaccel####.oss-cn-####.aliy####.com/Upload/ad/manager/15553120260114539...
- ymaccel####.oss-cn-####.aliy####.com/Upload/ad/manager/15553120614202151...
- ymaccel####.oss-cn-####.aliy####.com/Upload/ad/manager/15553120855147865...
- ymaccel####.oss-cn-####.aliy####.com/Upload/ad/manager/15553784805492133...
- ymaccel####.oss-cn-####.aliy####.com/Upload/good/12937/15397398707834566...
- ymaccel####.oss-cn-####.aliy####.com/Upload/good/12939/15397397995223772...
- ymaccel####.oss-cn-####.aliy####.com/Upload/good/14617/15439923274912260...
- ymaccel####.oss-cn-####.aliy####.com/Upload/good/14618/15439726079205125...
- ymaccel####.oss-cn-####.aliy####.com/Upload/good/14623/15439727520341051...
- ymaccel####.oss-cn-####.aliy####.com/Upload/good/14630/15439791886676293...
- ymaccel####.oss-cn-####.aliy####.com/Upload/good/14638/15439812580565319...
- ymaccel####.oss-cn-####.aliy####.com/Upload/good/14639/15439814379421645...
- ymaccel####.oss-cn-####.aliy####.com/Upload/good/14640/15439817791212750...
- ymaccel####.oss-cn-####.aliy####.com/Upload/good/14645/15439818987594913...
- ymaccel####.oss-cn-####.aliy####.com/Upload/good/14646/15439906965356104...
- ymaccel####.oss-cn-####.aliy####.com/Upload/good/14850/15448384789221535...
- ymaccel####.oss-cn-####.aliy####.com/Upload/good/15905/15521181196934911...
- ymaccel####.oss-cn-####.aliy####.com/Upload/good/15905/15521181197574512...
- ymaccel####.oss-cn-####.aliy####.com/Upload/good/15905/15521181198305444...
- ymaccel####.oss-cn-####.aliy####.com/Upload/good/15905/15521181199256453...
- ymaccel####.oss-cn-####.aliy####.com/Upload/good/15905/15521181199947650...
- ymaccel####.oss-cn-####.aliy####.com/Upload/good/15905/Content/155211837...
- ymaccel####.oss-cn-####.aliy####.com/Upload/good/15933/15526370720624057...
- ymaccel####.oss-cn-####.aliy####.com/Upload/good/3422/154020232375551442...
- ymaccel####.oss-cn-####.aliy####.com/Upload/good/879/154043784260528102....
- ymaccel####.oss-cn-####.aliy####.com/Upload/goodContentTemp/ContentTemp/...
Запросы HTTP POST:
- a####.u####.com/app_logs
- aexcep####.b####.qq.com:8012/rqd/async
- and####.b####.qq.com/rqd/async
- c-h####.g####.com/api.php?format=####&t=####
- sdk-ope####.g####.com/api.php?format=####&t=####
- sdk-ope####.g####.com/api.php?format=####&t=####&d=####&k=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/-1031207439-1160648299
- /data/data/####/-1031207439-1561822613
- /data/data/####/-1031207439-1710603262
- /data/data/####/-1031207439-1724457999
- /data/data/####/-1031207439-413969788
- /data/data/####/-117772473-1117673297
- /data/data/####/-1224625777-1097288436
- /data/data/####/-1224625777-1515321116
- /data/data/####/-1224625777-1777366106
- /data/data/####/-1224625777-1928714354
- /data/data/####/-1224625777-2224272
- /data/data/####/-1224625777-282995057
- /data/data/####/-1224625777-664618398
- /data/data/####/-12246257771123661063
- /data/data/####/-12246257771663363946
- /data/data/####/-12246257771919708168
- /data/data/####/-12246257771920203943
- /data/data/####/-1224625777193442705
- /data/data/####/-12246257771951704325
- /data/data/####/-12246257772041579722
- /data/data/####/-1224625777650951798
- /data/data/####/-131843301-1854029610
- /data/data/####/-1510195332-1444804764
- /data/data/####/-15101953321764841428
- /data/data/####/-1510195332724959048
- /data/data/####/-1528492239-1976498891
- /data/data/####/-25908442038499040
- /data/data/####/-446599915-238670946
- /data/data/####/-4465999151774861231
- /data/data/####/.imprint
- /data/data/####/090abf07c5c7f265020f2a38cdbe012a9da85e1204383d4....0.tmp
- /data/data/####/106887459629301413
- /data/data/####/12431268741587225174
- /data/data/####/19a9c60851bfe1169e36e0d4abf2dcf958e6345ebabc78e....0.tmp
- /data/data/####/28de62ca684fa610ec2581789afeb99c062f88473046368....0.tmp
- /data/data/####/2ca90ebe2abd57c3a5bc58a85f0042f5a4a467592675569....0.tmp
- /data/data/####/314214993-135821326
- /data/data/####/32c03eb89aab770a9353f2da18c0d2fb40874821056dffc....0.tmp
- /data/data/####/32e5305c95f2d58591e7ea26dfb647d4f2866411b9e8a12....0.tmp
- /data/data/####/38351463-896241999
- /data/data/####/3955eaaf9d0a4f0f05c244ced35a9e2bc98a549ba15a3ff....0.tmp
- /data/data/####/3fe568dfa4d6d57f01eaa644930b6a8764f2bfa000ac887....0.tmp
- /data/data/####/401235546-1646390169
- /data/data/####/401235546903020568
- /data/data/####/428585075-1133863706
- /data/data/####/588421972e6b
- /data/data/####/6440206791584350601
- /data/data/####/691306623-131963123
- /data/data/####/6e89a8b14504dbef18dd6f9ac6b102b2b439520acd07f83....0.tmp
- /data/data/####/71372d67e157d165690e46f8f70d6deb02138f49161a0b6....0.tmp
- /data/data/####/7ca04c81ce1459bc041eb817abc3b41c0fc8ca1a05ddcf6....0.tmp
- /data/data/####/8e1f0b98b2b78ad9406cf82cb710a328714825acac60b4d....0.tmp
- /data/data/####/8e8fa2f9fc1b52365d045dee0277857efca78c9d365d78c....0.tmp
- /data/data/####/8f7ebad174d39b72a61ff89402c5b29d8b4700ba5337635....0.tmp
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/MultiDex.lock
- /data/data/####/a687fa6eafb6816471faee7e3089a98ee87b87bb8571b8b....0.tmp
- /data/data/####/acbdd55c7d825650cb369be6d92f8e9b99b5c21548a8451....0.tmp
- /data/data/####/acd7b502faf54585905073275c89aa0611ef515a641be31....0.tmp
- /data/data/####/bugly_db_legu-journal
- /data/data/####/c9eae9ecb0d15ba7eb935f46c18d9dc86e39113fcda8d43....0.tmp
- /data/data/####/cb1157915e198bef6ed4d66e91cb8761cc531b9ad283d2d....0.tmp
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/com.qiyukf.analytics.xml
- /data/data/####/com.tencent.open.config.json.1106343314
- /data/data/####/d47ad3e6ea0471dcc285af2223d949e62fce33a80a9b2ba....0.tmp
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/dc04ef616dc80e6e99bfedd8df3a44742f14a406685b17e....0.tmp
- /data/data/####/ddfbd980874b1dd1cc226e378501feddc0ec615f4297e22....0.tmp
- /data/data/####/e4be91493ff00f5b05541dfc6846f7233ac07918a644291....0.tmp
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/f_000004
- /data/data/####/f_000005
- /data/data/####/f_000006
- /data/data/####/f_000007
- /data/data/####/f_000008
- /data/data/####/f_000009
- /data/data/####/f_00000a
- /data/data/####/f_00000b
- /data/data/####/f_00000c
- /data/data/####/f_00000d
- /data/data/####/f_00000e
- /data/data/####/fenxiao.xml
- /data/data/####/gdaemon_20161017
- /data/data/####/getui_sp.xml
- /data/data/####/gkt-journal
- /data/data/####/gx_sp.xml
- /data/data/####/index
- /data/data/####/init.pid
- /data/data/####/init_c1.pid
- /data/data/####/journal.tmp
- /data/data/####/libnfix.so
- /data/data/####/libshella-3.0.0.0.so
- /data/data/####/libufix.so
- /data/data/####/local_crash_lock
- /data/data/####/mix.dex
- /data/data/####/multidex.version.xml
- /data/data/####/native_record_lock
- /data/data/####/push.pid
- /data/data/####/pushext.db-journal
- /data/data/####/pushg.db-journal
- /data/data/####/pushk.db-journal
- /data/data/####/pushsdk.db-journal
- /data/data/####/run.pid
- /data/data/####/security_info
- /data/data/####/tdata_Soq141
- /data/data/####/tdata_Soq141.jar
- /data/data/####/tdata_fEV688
- /data/data/####/tdata_fEV688.jar
- /data/data/####/tdata_ilz707
- /data/data/####/tdata_ilz707.jar
- /data/data/####/tdata_siA393
- /data/data/####/tdata_siA393.jar
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/unicorn#cheese#
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/weibo_sdk_aid1
- /data/media/####/.nomedia
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/app.db
- /data/media/####/com.getui.sdk.deviceId.db
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/com.uniplaza.fenx.bin
- /data/media/####/com.uniplaza.fenx.db
- /data/media/####/gkt-journal
- /data/media/####/gktper
- /data/media/####/tdata_Soq141
- /data/media/####/tdata_fEV688
- /data/media/####/tdata_ilz707
- /data/media/####/tdata_siA393
- /data/media/####/test.log
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop ro.aa.romver
- /system/bin/sh -c getprop ro.board.platform
- /system/bin/sh -c getprop ro.build.fingerprint
- /system/bin/sh -c getprop ro.build.nubia.rom.name
- /system/bin/sh -c getprop ro.build.rom.id
- /system/bin/sh -c getprop ro.build.tyd.kbstyle_version
- /system/bin/sh -c getprop ro.build.version.emui
- /system/bin/sh -c getprop ro.build.version.opporom
- /system/bin/sh -c getprop ro.gn.gnromvernumber
- /system/bin/sh -c getprop ro.lenovo.series
- /system/bin/sh -c getprop ro.lewa.version
- /system/bin/sh -c getprop ro.meizu.product.model
- /system/bin/sh -c getprop ro.miui.ui.version.name
- /system/bin/sh -c getprop ro.vivo.os.build.display.id
- /system/bin/sh -c type su
- <Package Folder>/files/gdaemon_20161017 0 <Package>/<Package>.getui.GetuiPushService 24712 300 0
- cat /sys/class/net/wlan0/address
- chmod 700 <Package Folder>/files/gdaemon_20161017
- chmod 700 <Package Folder>/tx_shell/libnfix.so
- chmod 700 <Package Folder>/tx_shell/libshella-3.0.0.0.so
- chmod 700 <Package Folder>/tx_shell/libufix.so
- getprop ro.aa.romver
- getprop ro.board.platform
- getprop ro.build.fingerprint
- getprop ro.build.nubia.rom.name
- getprop ro.build.rom.id
- getprop ro.build.tyd.kbstyle_version
- getprop ro.build.version.emui
- getprop ro.build.version.opporom
- getprop ro.gn.gnromvernumber
- getprop ro.lenovo.series
- getprop ro.lewa.version
- getprop ro.meizu.product.model
- getprop ro.miui.ui.version.name
- getprop ro.vivo.os.build.display.id
- getprop ro.yunos.version
- logcat -d -v threadtime
- mount
- sh <Package Folder>/files/gdaemon_20161017 0 <Package>/<Package>.getui.GetuiPushService 24712 300 0
Загружает динамические библиотеки:
- Bugly
- getuiext2
- libnfix
- libshella-3.0.0.0
- libufix
- nfix
- ufix
- weibosdkcore
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-CFB-NoPadding
- AES-ECB-PKCS5Padding
- AES-GCM-NoPadding
- RSA-ECB-PKCS1Padding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-ECB-PKCS5Padding
- AES-GCM-NoPadding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию о настроках APN.
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
