Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) ser####.dc####.net.cn:80
- TCP(HTTP/1.1) norma-e####.m####.com:80
- TCP(HTTP/1.1) qin####.com.www.####.com:80
- TCP(HTTP/1.1) sdk-ope####.g####.com:80
- TCP(HTTP/1.1) aexcep####.b####.qq.com:8012
- TCP(HTTP/1.1) t####.c####.q####.####.com:80
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(HTTP/1.1) c-h####.g####.com:80
- TCP(HTTP/1.1) aexcep####.b####.qq.com:8011
- TCP(TLS/1.0) api.map.b####.com:443
- TCP(TLS/1.0) app.ew####.com:443
- TCP(TLS/1.0) ser####.dc####.net.cn:443
- TCP(TLS/1.0) 1####.217.17.78:443
- TCP sdk.o####.t####.####.com:5224
- TCP c####.g####.ig####.com:5225
Запросы DNS:
- 7j####.c####.z0.####.com
- a####.b####.qq.com
- aexcep####.b####.qq.com
- and####.b####.qq.com
- api.map.b####.com
- app.ew####.com
- c####.g####.ig####.com
- c-h####.g####.com
- norma-e####.m####.com
- pub-####.qin####.com
- sdk-ope####.g####.com
- sdk.c####.ig####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
- ser####.dc####.net.cn
- www.dc####.io
Запросы HTTP GET:
- norma-e####.m####.com/android/exchange/getpublickey.do
- qin####.com.www.####.com/tdata_EDT369
- ser####.dc####.net.cn/urd.json?v=####
- t####.c####.q####.####.com/config/hz-hzv6.conf
- t####.c####.q####.####.com/tdata_Jga153
- t####.c####.q####.####.com/tdata_bca864
- t####.c####.q####.####.com/tdata_duV457
- t####.c####.q####.####.com/tdata_mSr887
Запросы HTTP POST:
- aexcep####.b####.qq.com:8011/rqd/async
- aexcep####.b####.qq.com:8012/rqd/async
- and####.b####.qq.com/rqd/async
- c-h####.g####.com/api.php?format=####&t=####
- norma-e####.m####.com/push/android/external/add.do
- sdk-ope####.g####.com/api.php?format=####&t=####
- sdk-ope####.g####.com/api.php?format=####&t=####&d=####&k=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imei.txt
- /data/data/####/0.2073867ec8c9bc3c17c7.js
- /data/data/####/1.684baba.jpg
- /data/data/####/1.a3a99fe27278df636cd4.js
- /data/data/####/10.e1994a7ad6494388e6d4.js
- /data/data/####/11.545a3ce9555d11f7a9ef.js
- /data/data/####/12.c748781b96abbd53c594.js
- /data/data/####/13.5875a66435257def2113.js
- /data/data/####/14.1df78e6cecf670c7c8ce.js
- /data/data/####/15.b1f63b5091615578bc4f.js
- /data/data/####/16.59eac7a07a3b09013cf2.js
- /data/data/####/17.690551c74eb60ad7318e.js
- /data/data/####/18.12fabdd5668b040e84ae.js
- /data/data/####/19.134e461930075fe7aa11.js
- /data/data/####/2.209c1d5.jpg
- /data/data/####/2.b23788ee53305399a3c1.js
- /data/data/####/20.94368ebe43fa10e6f001.js
- /data/data/####/21.72bfe794833ea6057b19.js
- /data/data/####/22.27d10d6f6d0e3bc8203b.js
- /data/data/####/23.5bbb135c8f49e03b0f46.js
- /data/data/####/24.46e247420bc0e11a2ba7.js
- /data/data/####/25.f6accde200a31bc45e51.js
- /data/data/####/26.508b4443cbff42afc0cf.js
- /data/data/####/27.1c6773e1843b1ba6ba1b.js
- /data/data/####/27aab7680a59
- /data/data/####/28.750a79695ce3818b8d35.js
- /data/data/####/29.18bc6ab8138455818925.js
- /data/data/####/3.86b8285.jpg
- /data/data/####/3.e9f6ab44fea69b55d7e3.js
- /data/data/####/30.0429b36e959ba0b28f1a.js
- /data/data/####/31.4d02f46c36d4ae422cca.js
- /data/data/####/32.428d6bf48172851a8fa2.js
- /data/data/####/33.fe43d4dee98ed181b448.js
- /data/data/####/34.cde105b235be60abbcef.js
- /data/data/####/35.c1c82426cd3497082bc9.js
- /data/data/####/36.247a559a73c5945eb7f1.js
- /data/data/####/37.b000a4fb4b4e1d63f23f.js
- /data/data/####/38.08138b07f82283aec879.js
- /data/data/####/39.5d21b3f0162be0a3bbb4.js
- /data/data/####/4.300fd7f05a371ff9bf22.js
- /data/data/####/5.866c7786cbefcdfad790.js
- /data/data/####/6.b3c410260c0bb994146d.js
- /data/data/####/7.6a8eb09e1febf1197d70.js
- /data/data/####/8.a7e99714f979e4471d8f.js
- /data/data/####/9.8ce7dce4e2dad82f0a24.js
- /data/data/####/MultiDex.lock
- /data/data/####/_adio.dcloud.feature.ad.a.a.xml
- /data/data/####/app.5a2865fc31d737ada9e716a31b7f6540.css
- /data/data/####/app.7fe0bb8b16e8bf5851c7.js
- /data/data/####/application-active.svg
- /data/data/####/application.svg
- /data/data/####/approval.3917c2d.png
- /data/data/####/authStatus_com.ewsedu.ehome.xml
- /data/data/####/bridge.js
- /data/data/####/bugly_db_legu-journal
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/class.139ecfc.png
- /data/data/####/classes.087aae7.png
- /data/data/####/classes_score.5d0dfb6.png
- /data/data/####/com.ewsedu.ehome.xml
- /data/data/####/com.ewsedu.ehome_storages.xml
- /data/data/####/com.x.y.1.xml
- /data/data/####/com.x.y.2.xml
- /data/data/####/common.css
- /data/data/####/contact-active.svg
- /data/data/####/contact.svg
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/default.bd58853.png
- /data/data/####/edition1.1a5f5f7.jpg
- /data/data/####/eje3cnc
- /data/data/####/gdaemon_20161017
- /data/data/####/getui_sp.xml
- /data/data/####/gkt-journal
- /data/data/####/grade.e115ced.png
- /data/data/####/home.html
- /data/data/####/home.js
- /data/data/####/icon.png
- /data/data/####/iconfont.4afe8c7.eot
- /data/data/####/iconfont.57c8a60.svg
- /data/data/####/iconfont.a1ce529.woff
- /data/data/####/iconfont.eb28e44.ttf
- /data/data/####/imagePlaceholder.88618a6.png
- /data/data/####/index
- /data/data/####/index.html
- /data/data/####/index.js
- /data/data/####/init.pid
- /data/data/####/init_c1.pid
- /data/data/####/launchBg.jpg
- /data/data/####/leave.d58138d.png
- /data/data/####/libcuid.so
- /data/data/####/libnfix.so
- /data/data/####/libshella-3.0.0.0.so
- /data/data/####/libufix.so
- /data/data/####/local_crash_lock
- /data/data/####/login-bg.62a5366.png
- /data/data/####/logo.png
- /data/data/####/logoTeacher.612f6de.png
- /data/data/####/logoTitle.5985d81.png
- /data/data/####/manifest.63fb545bf02949918693.js
- /data/data/####/manifest.json
- /data/data/####/mark.3e4adea.png
- /data/data/####/message-active.svg
- /data/data/####/message.svg
- /data/data/####/mix.dex
- /data/data/####/mobclick_agent_cached_com.ewsedu.ehome361
- /data/data/####/money.249f1e0.png
- /data/data/####/monitor.f8f3fd0.png
- /data/data/####/mui.css
- /data/data/####/mui.ttf
- /data/data/####/multidex.version.xml
- /data/data/####/my-active.svg
- /data/data/####/my.svg
- /data/data/####/native_record_lock
- /data/data/####/none.054f81f.png
- /data/data/####/office.43bae7d.png
- /data/data/####/package.json
- /data/data/####/pdr.xml
- /data/data/####/plus.js
- /data/data/####/push.pid
- /data/data/####/pushext.db-journal
- /data/data/####/pushg.db-journal
- /data/data/####/pushk.db-journal
- /data/data/####/pushsdk.db-journal
- /data/data/####/recharge.42d6b0a.png
- /data/data/####/recipe.926fda8.png
- /data/data/####/run.pid
- /data/data/####/search.0f7fe59.svg
- /data/data/####/security_info
- /data/data/####/sign.10a054c.svg
- /data/data/####/start_statistics_data.xml
- /data/data/####/stream_permission.xml
- /data/data/####/tdata_Jga153
- /data/data/####/tdata_Jga153.jar
- /data/data/####/tdata_bca864
- /data/data/####/tdata_bca864.jar
- /data/data/####/tdata_duV457
- /data/data/####/tdata_duV457.jar
- /data/data/####/tdata_mSr887
- /data/data/####/tdata_mSr887.jar
- /data/data/####/team.127ee61.png
- /data/data/####/test_app
- /data/data/####/umeng_general_config.xml
- /data/data/####/vendor.7feb4cc09ae821544698.js
- /data/data/####/vendor.bundle.js
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/webviewCookiesChromiumPrivate.db-journal
- /data/data/####/work.b2f55bc.png
- /data/media/####/.cuid
- /data/media/####/.cuid2
- /data/media/####/.imei.txt
- /data/media/####/.nomedia
- /data/media/####/2019-04-30.log.txt
- /data/media/####/app.db
- /data/media/####/com.ewsedu.ehome.bin
- /data/media/####/com.ewsedu.ehome.db
- /data/media/####/com.getui.sdk.deviceId.db
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/gkt-journal
- /data/media/####/gktper
- /data/media/####/tdata_Jga153
- /data/media/####/tdata_bca864
- /data/media/####/tdata_duV457
- /data/media/####/tdata_mSr887
- /data/media/####/test.log
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop ro.aa.romver
- /system/bin/sh -c getprop ro.board.platform
- /system/bin/sh -c getprop ro.build.fingerprint
- /system/bin/sh -c getprop ro.build.nubia.rom.name
- /system/bin/sh -c getprop ro.build.rom.id
- /system/bin/sh -c getprop ro.build.tyd.kbstyle_version
- /system/bin/sh -c getprop ro.build.version.emui
- /system/bin/sh -c getprop ro.build.version.opporom
- /system/bin/sh -c getprop ro.gn.gnromvernumber
- /system/bin/sh -c getprop ro.lenovo.series
- /system/bin/sh -c getprop ro.lewa.version
- /system/bin/sh -c getprop ro.meizu.product.model
- /system/bin/sh -c getprop ro.miui.ui.version.name
- /system/bin/sh -c getprop ro.vivo.os.build.display.id
- /system/bin/sh -c type su
- <Package Folder>/files/gdaemon_20161017 0 <Package>/com.getui.plugins.DemoPushService 24590 300 0
- cat /sys/class/net/wlan0/address
- chmod 700 <Package Folder>/files/gdaemon_20161017
- chmod 700 <Package Folder>/tx_shell/libnfix.so
- chmod 700 <Package Folder>/tx_shell/libshella-3.0.0.0.so
- chmod 700 <Package Folder>/tx_shell/libufix.so
- getprop ro.aa.romver
- getprop ro.board.platform
- getprop ro.build.fingerprint
- getprop ro.build.nubia.rom.name
- getprop ro.build.rom.id
- getprop ro.build.tyd.kbstyle_version
- getprop ro.build.version.emui
- getprop ro.build.version.opporom
- getprop ro.gn.gnromvernumber
- getprop ro.lenovo.series
- getprop ro.lewa.version
- getprop ro.meizu.product.model
- getprop ro.miui.ui.version.name
- getprop ro.vivo.os.build.display.id
- getprop ro.yunos.version
- logcat -d -v threadtime
- mount
- sh <Package Folder>/files/gdaemon_20161017 0 <Package>/com.getui.plugins.DemoPushService 24590 300 0
Загружает динамические библиотеки:
- BaiduMapSDK_base_v5_2_1
- Bugly
- getuiext3
- libnfix
- libshella-3.0.0.0
- libufix
- nfix
- ufix
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CFB-NoPadding
- AES-ECB-PKCS5Padding
- AES-GCM-NoPadding
- RSA-ECB-PKCS1Padding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-ECB-PKCS5Padding
- AES-GCM-NoPadding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
