Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) m.d####.mob.com:80
- TCP(HTTP/1.1) aexcep####.b####.qq.com:8011
- TCP(HTTP/1.1) a####.exc.mob.com:80
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(HTTP/1.1) aexcep####.b####.qq.com:8012
- TCP(HTTP/1.1) t####.talking####.net:80
- TCP(HTTP/1.1) sdk.o####.p####.####.com:80
- TCP(TLS/1.0) hm.b####.com:443
- TCP(TLS/1.0) www.bygu####.com:443
- TCP(TLS/1.0) zz.bdst####.com:443
- TCP(TLS/1.0) jic.talking####.com:443
Запросы DNS:
- a####.b####.qq.com
- a####.exc.mob.com
- aexcep####.b####.qq.com
- and####.b####.qq.com
- hm.b####.com
- jic.talking####.com
- m.d####.mob.com
- sdk.o####.p####.####.com
- t####.talking####.net
- www.bygu####.com
- zz.bdst####.com
Запросы HTTP GET:
- m.d####.mob.com/v3/cconf?appkey=####&plat=####&apppkg=####&appver=####&n...
Запросы HTTP POST:
- a####.exc.mob.com/errconf
- aexcep####.b####.qq.com:8011/rqd/async
- aexcep####.b####.qq.com:8012/rqd/async
- and####.b####.qq.com/rqd/async
- sdk.o####.p####.####.com/api.php?format=####&t=####
- t####.talking####.net/g/d
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.lock
- /data/data/####/04e6bad39df8c5a551b2b6c9c8743e2a.0.tmp
- /data/data/####/04e6bad39df8c5a551b2b6c9c8743e2a.1.tmp
- /data/data/####/0ac4260a4876c92ff9bd2d78085ea629.0.tmp
- /data/data/####/0ac4260a4876c92ff9bd2d78085ea629.1.tmp
- /data/data/####/131a70ad85e1a8e4e97f43f2ee3b9932.0.tmp
- /data/data/####/131a70ad85e1a8e4e97f43f2ee3b9932.1.tmp
- /data/data/####/18e65a1c5c3fe81a46b2f269dc42925a.0.tmp
- /data/data/####/18e65a1c5c3fe81a46b2f269dc42925a.1.tmp
- /data/data/####/1bc013ec0ae6e60e48436cce0adf5395.0.tmp
- /data/data/####/1bc013ec0ae6e60e48436cce0adf5395.1.tmp
- /data/data/####/1d11351525cd7ef0ab95038631624094.0.tmp
- /data/data/####/1d11351525cd7ef0ab95038631624094.1.tmp
- /data/data/####/1e51af0b43ffae861da469c42061b214.0.tmp
- /data/data/####/1e51af0b43ffae861da469c42061b214.1.tmp
- /data/data/####/1fe7705e0835fd042c139ebe6d8af8ca.0.tmp
- /data/data/####/1fe7705e0835fd042c139ebe6d8af8ca.1.tmp
- /data/data/####/39d5985a401326a508cead149057e77b.0.tmp
- /data/data/####/39d5985a401326a508cead149057e77b.1.tmp
- /data/data/####/3e4142ccef5346202f34698b4251aeff.0.tmp
- /data/data/####/3e4142ccef5346202f34698b4251aeff.1.tmp
- /data/data/####/47fd3f6ad1012124f3d70eaa4125c9b7.0.tmp
- /data/data/####/47fd3f6ad1012124f3d70eaa4125c9b7.1.tmp
- /data/data/####/49b7e39256332ad53184b11f0e6ac82c.0.tmp
- /data/data/####/49b7e39256332ad53184b11f0e6ac82c.1.tmp
- /data/data/####/4a1d223e2a315bfd101abeba22c6c1ac.0.tmp
- /data/data/####/4a1d223e2a315bfd101abeba22c6c1ac.1.tmp
- /data/data/####/56c1da695f06336d8e650c15efa9f43e.0.tmp
- /data/data/####/56c1da695f06336d8e650c15efa9f43e.1.tmp
- /data/data/####/581c412d8d04b450d443f434ad79e441.0.tmp
- /data/data/####/581c412d8d04b450d443f434ad79e441.1.tmp
- /data/data/####/5dbc9a850b3ba3504a8cc20fad1e19f7.0.tmp
- /data/data/####/5dbc9a850b3ba3504a8cc20fad1e19f7.1.tmp
- /data/data/####/6b117ab1d3ec36116176d9d7d269c830.0.tmp
- /data/data/####/6b117ab1d3ec36116176d9d7d269c830.1.tmp
- /data/data/####/6d0ed4a1dfaebb69e85462683d4fcb3d.0.tmp
- /data/data/####/6d0ed4a1dfaebb69e85462683d4fcb3d.1.tmp
- /data/data/####/6d811c6e4713e547f41ff2d6d6ad72ab.0.tmp
- /data/data/####/6d811c6e4713e547f41ff2d6d6ad72ab.1.tmp
- /data/data/####/72e81e3c93f8732a272dc82591670684.0.tmp
- /data/data/####/72e81e3c93f8732a272dc82591670684.1.tmp
- /data/data/####/73d570e6d1b100e75da9ced444224f73.0.tmp
- /data/data/####/73d570e6d1b100e75da9ced444224f73.1.tmp
- /data/data/####/75b847ec1331205db33d97c0b47a8b49.0.tmp
- /data/data/####/75b847ec1331205db33d97c0b47a8b49.1.tmp
- /data/data/####/768a654a54a0f54e8d56166595f5c5ab.0.tmp
- /data/data/####/768a654a54a0f54e8d56166595f5c5ab.1.tmp
- /data/data/####/78cc04f33c63c767507bfafc9e8d3233.0.tmp
- /data/data/####/78cc04f33c63c767507bfafc9e8d3233.1.tmp
- /data/data/####/7c301dc1474db4563bbcd1890dcf2878.0.tmp
- /data/data/####/7c301dc1474db4563bbcd1890dcf2878.1.tmp
- /data/data/####/96394a5d05fa1149796471901581ca4c.0.tmp
- /data/data/####/96394a5d05fa1149796471901581ca4c.1.tmp
- /data/data/####/984a98de88ce63e52bf290a2be578bcb.0.tmp
- /data/data/####/984a98de88ce63e52bf290a2be578bcb.1.tmp
- /data/data/####/9fa7b22aa3123747abd5250ba49ef04e.0.tmp
- /data/data/####/9fa7b22aa3123747abd5250ba49ef04e.1.tmp
- /data/data/####/TDtcagent.db
- /data/data/####/TDtcagent.db-journal
- /data/data/####/WebViewSettings.xml
- /data/data/####/_bbs_info.xml
- /data/data/####/_category_info.xml
- /data/data/####/_device_info.xml
- /data/data/####/_version_flag.xml
- /data/data/####/a5dcad35ce32dc9d52886d9d3a044517.0.tmp
- /data/data/####/a5dcad35ce32dc9d52886d9d3a044517.1.tmp
- /data/data/####/a6f86d651804ff4cd9c803a826339246.0.tmp
- /data/data/####/a6f86d651804ff4cd9c803a826339246.1.tmp
- /data/data/####/ad.xml
- /data/data/####/adcbb8ee7345dc8005f9a297bc30e4cd.0.tmp
- /data/data/####/adcbb8ee7345dc8005f9a297bc30e4cd.1.tmp
- /data/data/####/app_version.xml
- /data/data/####/app_version_code.xml
- /data/data/####/b36380a64460bc00c6b5ddb9f13896c9.0.tmp
- /data/data/####/b36380a64460bc00c6b5ddb9f13896c9.1.tmp
- /data/data/####/b44ac4df9a04ba38a043815d4bac6463.0.tmp
- /data/data/####/b44ac4df9a04ba38a043815d4bac6463.1.tmp
- /data/data/####/bb899be6aeff033f35faa8d0a6308814.0.tmp
- /data/data/####/bb899be6aeff033f35faa8d0a6308814.1.tmp
- /data/data/####/bugly_db_legu-journal
- /data/data/####/cbad07a136e67855612ef142ce6838c3.0.tmp
- /data/data/####/cbad07a136e67855612ef142ce6838c3.1.tmp
- /data/data/####/d3f0611b5449a411b6ce30169e13ba6e.0.tmp
- /data/data/####/d3f0611b5449a411b6ce30169e13ba6e.1.tmp
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/dcaf6a960dca2a698daa70ba4eedaace.0.tmp
- /data/data/####/dcaf6a960dca2a698daa70ba4eedaace.1.tmp
- /data/data/####/e2f70bb4ce86c4e50d34acb83faea0cb.0.tmp
- /data/data/####/e2f70bb4ce86c4e50d34acb83faea0cb.1.tmp
- /data/data/####/e9a571ab7349ca17d6cafd041f0470b2.0.tmp
- /data/data/####/e9a571ab7349ca17d6cafd041f0470b2.1.tmp
- /data/data/####/ea8786c90262c363303a561672886641.0.tmp
- /data/data/####/ea8786c90262c363303a561672886641.1.tmp
- /data/data/####/eaf758f0d9857206b5eccffc34f09744.0.tmp
- /data/data/####/eaf758f0d9857206b5eccffc34f09744.1.tmp
- /data/data/####/ed0b8e6479fcc975b9fbfa292310cfa4.0.tmp
- /data/data/####/ed0b8e6479fcc975b9fbfa292310cfa4.1.tmp
- /data/data/####/ee5e8b75ba52d3a85ca8c2798e9dd8ea.0.tmp
- /data/data/####/ee5e8b75ba52d3a85ca8c2798e9dd8ea.1.tmp
- /data/data/####/ee7326cae1e3341c8c598bb29fb85f58.0.tmp
- /data/data/####/ee7326cae1e3341c8c598bb29fb85f58.1
- /data/data/####/f042fafbd6aafd615c92b0f2f36f7548.0.tmp
- /data/data/####/f042fafbd6aafd615c92b0f2f36f7548.1.tmp
- /data/data/####/f06eb9678469455191287e1caab59660.0.tmp
- /data/data/####/f06eb9678469455191287e1caab59660.1.tmp
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/f_000004
- /data/data/####/f_000005
- /data/data/####/f_000006
- /data/data/####/f_000007
- /data/data/####/f_000008
- /data/data/####/f_000009
- /data/data/####/f_00000a
- /data/data/####/f_00000b
- /data/data/####/f_00000c
- /data/data/####/f_00000d
- /data/data/####/f_00000e
- /data/data/####/f_00000f
- /data/data/####/f_000010
- /data/data/####/fb05aee3d168c155c1dcb3f46e349d77.0.tmp
- /data/data/####/fb05aee3d168c155c1dcb3f46e349d77.1.tmp
- /data/data/####/fc7e836b3787212c40fd335045d55183.0.tmp
- /data/data/####/fc7e836b3787212c40fd335045d55183.1.tmp
- /data/data/####/getui_sp.xml
- /data/data/####/index
- /data/data/####/init_c1.pid
- /data/data/####/init_er.pid
- /data/data/####/journal.tmp
- /data/data/####/key_global_params.xml
- /data/data/####/key_tool_data.xml
- /data/data/####/key_track_data.xml
- /data/data/####/libnfix.so
- /data/data/####/libshella-3.0.0.0.so
- /data/data/####/libufix.so
- /data/data/####/local_crash_lock
- /data/data/####/mix.dex
- /data/data/####/mob_commons_1
- /data/data/####/mob_sdk_exception_1
- /data/data/####/multidex.version.xml
- /data/data/####/native_record_lock
- /data/data/####/pref_longtime.xml
- /data/data/####/pref_shorttime.xml
- /data/data/####/region_data.xml
- /data/data/####/security_info
- /data/data/####/td.lock
- /data/data/####/tdid.xml
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/.dic_lock
- /data/media/####/.duid
- /data/media/####/.globalLock
- /data/media/####/.nulplt
- /data/media/####/.pkg_lock
- /data/media/####/.rcTag
- /data/media/####/.rc_lock
- /data/media/####/.tcookieid
- /data/media/####/0ac4260a4876c92ff9bd2d78085ea629.tmp
- /data/media/####/131a70ad85e1a8e4e97f43f2ee3b9932.tmp
- /data/media/####/1bc013ec0ae6e60e48436cce0adf5395.tmp
- /data/media/####/1fe7705e0835fd042c139ebe6d8af8ca.tmp
- /data/media/####/28830191f31ee7e2200ce55a80429e64.tmp
- /data/media/####/3916a8ba747b35ae97802da1a0405ba2.tmp
- /data/media/####/39d5985a401326a508cead149057e77b.tmp
- /data/media/####/49b7e39256332ad53184b11f0e6ac82c.tmp
- /data/media/####/4a1d223e2a315bfd101abeba22c6c1ac.tmp
- /data/media/####/56c1da695f06336d8e650c15efa9f43e.tmp
- /data/media/####/581c412d8d04b450d443f434ad79e441.tmp
- /data/media/####/5dbc9a850b3ba3504a8cc20fad1e19f7.tmp
- /data/media/####/6b117ab1d3ec36116176d9d7d269c830.tmp
- /data/media/####/73d570e6d1b100e75da9ced444224f73.tmp
- /data/media/####/75b847ec1331205db33d97c0b47a8b49.tmp
- /data/media/####/768a654a54a0f54e8d56166595f5c5ab.tmp
- /data/media/####/78cc04f33c63c767507bfafc9e8d3233.tmp
- /data/media/####/96394a5d05fa1149796471901581ca4c.tmp
- /data/media/####/96c1b9da7c53e0742e9af8c9b5295791.tmp
- /data/media/####/984a98de88ce63e52bf290a2be578bcb.tmp
- /data/media/####/9fa7b22aa3123747abd5250ba49ef04e.tmp
- /data/media/####/a5dcad35ce32dc9d52886d9d3a044517.tmp
- /data/media/####/a6f86d651804ff4cd9c803a826339246.tmp
- /data/media/####/adcbb8ee7345dc8005f9a297bc30e4cd.tmp
- /data/media/####/b44ac4df9a04ba38a043815d4bac6463.tmp
- /data/media/####/bb899be6aeff033f35faa8d0a6308814.tmp
- /data/media/####/beac67602b11bd4f4fa78946a868f3df.tmp
- /data/media/####/cbad07a136e67855612ef142ce6838c3.tmp
- /data/media/####/d3f0611b5449a411b6ce30169e13ba6e.tmp
- /data/media/####/dcaf6a960dca2a698daa70ba4eedaace.tmp
- /data/media/####/e2f70bb4ce86c4e50d34acb83faea0cb.tmp
- /data/media/####/e9a571ab7349ca17d6cafd041f0470b2.tmp
- /data/media/####/ea8786c90262c363303a561672886641.tmp
- /data/media/####/eaf758f0d9857206b5eccffc34f09744.tmp
- /data/media/####/ed0b8e6479fcc975b9fbfa292310cfa4.tmp
- /data/media/####/ee5e8b75ba52d3a85ca8c2798e9dd8ea.tmp
- /data/media/####/ee7326cae1e3341c8c598bb29fb85f58.tmp
- /data/media/####/f042fafbd6aafd615c92b0f2f36f7548.tmp
- /data/media/####/fb05aee3d168c155c1dcb3f46e349d77.tmp
- /data/media/####/fc7e836b3787212c40fd335045d55183.tmp
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop ro.aa.romver
- /system/bin/sh -c getprop ro.board.platform
- /system/bin/sh -c getprop ro.build.fingerprint
- /system/bin/sh -c getprop ro.build.nubia.rom.name
- /system/bin/sh -c getprop ro.build.rom.id
- /system/bin/sh -c getprop ro.build.tyd.kbstyle_version
- /system/bin/sh -c getprop ro.build.version.emui
- /system/bin/sh -c getprop ro.build.version.opporom
- /system/bin/sh -c getprop ro.gn.gnromvernumber
- /system/bin/sh -c getprop ro.lenovo.series
- /system/bin/sh -c getprop ro.lewa.version
- /system/bin/sh -c getprop ro.meizu.product.model
- /system/bin/sh -c getprop ro.miui.ui.version.name
- /system/bin/sh -c getprop ro.vivo.os.build.display.id
- /system/bin/sh -c type su
- chmod 700 <Package Folder>/tx_shell/libnfix.so
- chmod 700 <Package Folder>/tx_shell/libshella-3.0.0.0.so
- chmod 700 <Package Folder>/tx_shell/libufix.so
- getprop
- getprop ro.aa.romver
- getprop ro.board.platform
- getprop ro.build.fingerprint
- getprop ro.build.nubia.rom.name
- getprop ro.build.rom.id
- getprop ro.build.tyd.kbstyle_version
- getprop ro.build.version.emui
- getprop ro.build.version.opporom
- getprop ro.gn.gnromvernumber
- getprop ro.lenovo.series
- getprop ro.lewa.version
- getprop ro.meizu.product.model
- getprop ro.miui.ui.version.name
- getprop ro.vivo.os.build.display.id
- getprop ro.yunos.version
- logcat -d -v threadtime
- sh
Загружает динамические библиотеки:
- Bugly
- getuiext2
- libnfix
- libshella-3.0.0.0
- libufix
- neh
- nfix
- ufix
Использует следующие алгоритмы для шифрования данных:
- AES-GCM-NoPadding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-ECB-NoPadding
- AES-GCM-NoPadding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
