Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.3.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) www.yunha####.com:80
- TCP(HTTP/1.1) www.sq####.com:80
- TCP(HTTP/1.1) ada####.m.ta####.com:80
- TCP(HTTP/1.1) t####.c####.q####.####.com:80
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(HTTP/1.1) ad####.m.ta####.com:80
- TCP(HTTP/1.1) aexcep####.b####.qq.com:8011
- TCP(HTTP/1.1) c-h####.g####.com:80
- TCP(HTTP/1.1) aexcep####.b####.qq.com:8012
- TCP(HTTP/1.1) sq####.com:80
- TCP(HTTP/1.1) wild####.al####.com.####.net:80
- TCP(HTTP/1.1) ser####.dc####.net.cn:80
- TCP(HTTP/1.1) qin####.com.www.####.com:80
- TCP(HTTP/1.1) sdk-ope####.g####.com:80
- TCP(TLS/1.0) www.sq####.com:443
- TCP(TLS/1.0) nbsdk-b####.al####.com:443
- TCP(TLS/1.0) gm.mm####.com:443
- TCP(TLS/1.0) 1####.217.168.238:443
- TCP(TLS/1.0) www.yunha####.com:443
- TCP(TLS/1.0) ser####.dc####.net.cn:443
- TCP(TLS/1.0) hk.wagbr####.non####.####.com:443
- TCP(TLS/1.0) wild####.al####.com.####.net:443
- TCP sdk.o####.t####.####.com:5224
- TCP c####.g####.ig####.com:5224
Запросы DNS:
- a####.b####.qq.com
- ad####.m.ta####.com
- ada####.m.ta####.com
- aexcep####.b####.qq.com
- and####.b####.qq.com
- c####.g####.ig####.com
- c-h####.g####.com
- img.al####.com
- mt####.go####.com
- nbsdk-b####.al####.com
- pub-####.qin####.com
- sdk-ope####.g####.com
- sdk.c####.ig####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
- ser####.dc####.net.cn
- sq####.com
- st####.dc####.net.cn
- wgo.mm####.com
- www.sq####.com
- www.yunha####.com
- y####.al####.com
Запросы HTTP GET:
- ad####.m.ta####.com/rest/gc2?ak=####&av=####&c=####&d=####&sv=####&t=###...
- qin####.com.www.####.com/tdata_EDT356
- sq####.com/Public/Admin/Uploads/AppNotice/5c9c673cd52a3.png
- sq####.com/Public/Admin/Uploads/AppNotice/5c9c6768bae69.png
- sq####.com/Public/Admin/Uploads/AppNotice/5cac395481ad7.png
- t####.c####.q####.####.com/config/hz-hzv6.conf
- wild####.al####.com.####.net/imgextra/i1/3338951817/TB2ZwxabXzqK1RjSZSgX...
- www.sq####.com/index.php?s=####&version=####&vendor=####
- www.yunha####.com/Public/Admin/Uploads/Cates/1546574666.png
- www.yunha####.com/Public/Admin/Uploads/Cates/1546574709.png
- www.yunha####.com/Public/Admin/Uploads/Cates/1546574776.png
- www.yunha####.com/Public/Admin/Uploads/Cates/1546653395.png
- www.yunha####.com/Public/Admin/Uploads/Cates/1546654049.png
- www.yunha####.com/Public/Admin/Uploads/Cates/1546655155.png
- www.yunha####.com/Public/Admin/Uploads/Cates/1546655806.png
- www.yunha####.com/Public/Admin/Uploads/Cates/1546655825.png
Запросы HTTP POST:
- ada####.m.ta####.com/rest/sur?ak=####&av=####&c=####&v=####&s=####&d=###...
- aexcep####.b####.qq.com:8011/rqd/async
- aexcep####.b####.qq.com:8012/rqd/async
- and####.b####.qq.com/rqd/async
- c-h####.g####.com/api.php?format=####&t=####
- sdk-ope####.g####.com/api.php?format=####&t=####
- ser####.dc####.net.cn/device/location
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/-Asv_kkhOEyr7UArvgfSU9qZsFw.1145262506.tmp
- /data/data/####/.imei.txt
- /data/data/####/056cbe9061f7
- /data/data/####/0UngY1QXGVYjxe7Jl_nYxFtGxlQ.1472630429.tmp
- /data/data/####/0a231bd8575dcf72.txt
- /data/data/####/1zq7f-OiIVW2_9H2leucXkT0dHA.-1908378768.tmp
- /data/data/####/21c22f492aba3de8.lock
- /data/data/####/3wnrrpj1BYVfyXocA0y69Ft4UXA.-426881730.tmp
- /data/data/####/4UbUU-3MQlaJc4JRIWxsstjtnk8.-722444389.tmp
- /data/data/####/6EoTs77xerYZtpQUFrygrx9zAZ0.-1422510446.tmp
- /data/data/####/930a31b34bd52c08.lock
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/MJ4hz0AtTPkIzpKswpTYzWat4GA.2016049014.tmp
- /data/data/####/MXOCpsV6ctpTeI7cdzEy_UgdSDg.368167470.tmp
- /data/data/####/MultiDex.lock
- /data/data/####/NS8doZEwibCJhTagxhnv0tM6Rt4.-1091332866.tmp
- /data/data/####/PgG5KdBBEexbuXLIgr15kEU_6V4.-631546996.tmp
- /data/data/####/Q0VSVC5SU0EK.txt91d
- /data/data/####/RKwfs1w-Lq_Msur-xUfmucGf2i8.1122498169.tmp
- /data/data/####/SGMANAGER_DATA2
- /data/data/####/SGMANAGER_DATA2 (deleted)
- /data/data/####/SGMANAGER_DATA2.tmp
- /data/data/####/UTCommon.xml
- /data/data/####/UTCommon.xml.bak
- /data/data/####/V_robvsKeLYp7TV9wqxXV00JOsA.989629378.tmp
- /data/data/####/WXStorage-journal
- /data/data/####/WkCDLRU9CSUwCMUihBffrlyHepE.-716966935.tmp
- /data/data/####/Z4ALpCQBXYk6kGy1TEMJ1Pfy17o.-1796606011.tmp
- /data/data/####/__UNI__225ABE7.xml
- /data/data/####/_adio.dcloud.feature.ad.a.a.xml
- /data/data/####/adlR_HDb5SdItOZjS8HkfY4OX5s.-556162872.tmp
- /data/data/####/aliTradeConfigSP.xml
- /data/data/####/ap.Lock
- /data/data/####/auth_sdk_device.xml
- /data/data/####/bjIytNJvddUl9TdOrHOxp0jbjgI.326493901.tmp
- /data/data/####/bugly_db_legu-journal
- /data/data/####/clientid_igexin.xml
- /data/data/####/dc_ad_type_key.xml
- /data/data/####/disk_entries_list_image_cache_1890513809.xml
- /data/data/####/ePWD55HqEPmtVsMstfYTNXFn9gs.1494036465.tmp
- /data/data/####/eje3cnc
- /data/data/####/f4W0z5ahADKta-LPdqCKvdh7f_Q.-1494734636.tmp
- /data/data/####/gdaemon_20161017
- /data/data/####/getui_sp.xml
- /data/data/####/gx_sp.xml
- /data/data/####/html5Geo.xml
- /data/data/####/imei.xml
- /data/data/####/init.pid
- /data/data/####/init_c1.pid
- /data/data/####/io.dcloud.H513BBB44_preferences.xml
- /data/data/####/jsb.version
- /data/data/####/libnfix.so
- /data/data/####/libsgmainso-5.3.80.so.tmp.2333
- /data/data/####/libshella-2.9.1.2.so
- /data/data/####/libufix.so
- /data/data/####/libweexjsb.so
- /data/data/####/local_crash_lock
- /data/data/####/lock.lock
- /data/data/####/mix.dex
- /data/data/####/multidex.version.xml
- /data/data/####/native_record_lock
- /data/data/####/pdr.xml
- /data/data/####/push.pid
- /data/data/####/pushext.db-journal
- /data/data/####/pushg.db-journal
- /data/data/####/pushsdk.db-journal
- /data/data/####/run.pid
- /data/data/####/sUO91f0eCPfYd4HFBXoDZVkP7hE.-1712909929.tmp
- /data/data/####/security_info
- /data/data/####/sp.lock
- /data/data/####/start_statistics_data.xml
- /data/data/####/stream_permission.xml
- /data/data/####/syT6eCRuZ30XKGPJSuwHU6mU6TU.564115477.tmp
- /data/data/####/test_app
- /data/data/####/timestamp
- /data/data/####/ut.db
- /data/data/####/ut.db-journal
- /data/data/####/wHW9iQjppgsl3Ci4wRYl2-xjU80.-1297357749.tmp
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/webviewCookiesChromiumPrivate.db-journal
- /data/data/####/wiXGu0oMKstFNLTRDynQJPG3F9o.1014908099.tmp
- /data/data/####/yl2Ptkjv8Ftu01N9odV0mrL-SoE.-1388605274.tmp
- /data/media/####/.imei.txt
- /data/media/####/1556564993331
- /data/media/####/AdEnable.dat
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/app.db
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/dd7893586a493dc3
- /data/media/####/hid.dat
- /data/media/####/io.dcloud.H513BBB44.bin
- /data/media/####/io.dcloud.H513BBB44.db
- /data/media/####/test.log
Другие:
Запускает следующие shell-скрипты:
- /data/app-lib/<Package>-1//libweexjsb.so 45 74 1 <Package Folder>/app_crash/crash_dump.log
- /data/app-lib/<Package>-1//libweexjsb.so 71 75 1 <Package Folder>/app_crash/crash_dump.log
- /system/bin/sh -c getprop ro.aa.romver
- /system/bin/sh -c getprop ro.board.platform
- /system/bin/sh -c getprop ro.build.fingerprint
- /system/bin/sh -c getprop ro.build.nubia.rom.name
- /system/bin/sh -c getprop ro.build.rom.id
- /system/bin/sh -c getprop ro.build.tyd.kbstyle_version
- /system/bin/sh -c getprop ro.build.version.emui
- /system/bin/sh -c getprop ro.build.version.opporom
- /system/bin/sh -c getprop ro.gn.gnromvernumber
- /system/bin/sh -c getprop ro.lenovo.series
- /system/bin/sh -c getprop ro.lewa.version
- /system/bin/sh -c getprop ro.meizu.product.model
- /system/bin/sh -c getprop ro.miui.ui.version.name
- /system/bin/sh -c getprop ro.vivo.os.build.display.id
- /system/bin/sh -c type su
- <Package Folder>/files/gdaemon_20161017 0 <Package>/io.dcloud.feature.apsGt.GTNormalPushService 24470 300 0
- cat /sys/class/net/wlan0/address
- chmod 700 <Package Folder>/files/gdaemon_20161017
- chmod 700 <Package Folder>/tx_shell/libnfix.so
- chmod 700 <Package Folder>/tx_shell/libshella-2.9.1.2.so
- chmod 700 <Package Folder>/tx_shell/libufix.so
- getprop ro.aa.romver
- getprop ro.board.platform
- getprop ro.build.fingerprint
- getprop ro.build.nubia.rom.name
- getprop ro.build.rom.id
- getprop ro.build.tyd.kbstyle_version
- getprop ro.build.version.emui
- getprop ro.build.version.opporom
- getprop ro.gn.gnromvernumber
- getprop ro.lenovo.series
- getprop ro.lewa.version
- getprop ro.meizu.product.model
- getprop ro.miui.ui.version.name
- getprop ro.vivo.os.build.display.id
- getprop ro.yunos.version
- logcat -d -v threadtime
- mount
- sh <Package Folder>/files/gdaemon_20161017 0 <Package>/io.dcloud.feature.apsGt.GTNormalPushService 24470 300 0
Загружает динамические библиотеки:
- Bugly
- getuiext3
- imagepipeline
- libnfix
- libshella-2.9.1.2
- libufix
- nfix
- sgmainso-5.3
- ufix
- ut_c_api
- weexcore
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-GCM-NoPadding
- RSA-ECB-PKCS1Padding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-GCM-NoPadding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
