Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) c-h####.g####.com:80
- TCP(HTTP/1.1) sdk-ope####.g####.com:80
- TCP(HTTP/1.1) a####.exc.mob.com:80
- TCP(HTTP/1.1) t####.c####.q####.####.com:80
- TCP(HTTP/1.1) mayijie####.com:80
- TCP(HTTP/1.1) m.d####.mob.com:80
- TCP(HTTP/1.1) ti####.c####.l####.####.com:80
- UDP(NTP) 1.cn.p####.####.org:123
- TCP(TLS/1.0) av1.x####.com:443
- TCP(TLS/1.0) c####.x####.com:443
- TCP(TLS/1.0) 1####.217.168.206:443
- TCP(TLS/1.0) k####.pl####.com:443
- TCP sdk.o####.t####.####.com:5224
- TCP c####.g####.ig####.com:5224
Запросы DNS:
- 1.cn.p####.####.org
- 7j####.c####.z0.####.com
- a####.exc.mob.com
- av1.x####.com
- c####.g####.ig####.com
- c####.x####.com
- c-h####.g####.com
- i####.cn
- k####.pl####.com
- m.d####.mob.com
- mayi####.pl####.com
- mayijie####.com
- mt####.go####.com
- sdk-ope####.g####.com
- sdk.c####.ig####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
Запросы HTTP GET:
- m.d####.mob.com/v3/cconf?appkey=####&plat=####&apppkg=####&appver=####&n...
- mayijie####.com/api/v1/kouzi/recommend?per=####&page=####&category_id=##...
- mayijie####.com/api/v1/kouzi/recommend_categories
- mayijie####.com/assets/application-45d763e9b87c2e669213d837f355d304faf96...
- mayijie####.com/assets/application-7e1edcdb9bce0c732b0e5a3ba947535036409...
- mayijie####.com/posts/20117/simply
- mayijie####.com/wx_img?imageUrl=https://mmbiz.qpic.cn/mmbiz_jpg/ZTD806y4...
- mayijie####.com/wx_img?imageUrl=https://mmbiz.qpic.cn/mmbiz_png/ZTD806y4...
- t####.c####.q####.####.com/config/hz-hzv6.conf
- t####.c####.q####.####.com/tdata_SzD730
- t####.c####.q####.####.com/tdata_ZCi456
- t####.c####.q####.####.com/tdata_aBz764
- ti####.c####.l####.####.com/uploads/post/image/19477/49c95f1a20adca485d3...
- ti####.c####.l####.####.com/uploads/post/image/19498/32abbd74a788c593954...
- ti####.c####.l####.####.com/uploads/post/image/19618/a4a57f1189f357d046a...
- ti####.c####.l####.####.com/uploads/post/image/19655/db5ecfd74745a45bd90...
- ti####.c####.l####.####.com/uploads/post/image/19732/8c9cfe9055445265013...
- ti####.c####.l####.####.com/uploads/post/image/19745/6277b038acaf6194a08...
- ti####.c####.l####.####.com/uploads/post/image/19762/4b17b2472762487f87e...
- ti####.c####.l####.####.com/uploads/post/image/19824/3b07d903ab636dfc520...
- ti####.c####.l####.####.com/uploads/post/image/19843/e7bb30680f73c58a179...
- ti####.c####.l####.####.com/uploads/post/image/19851/fdcba8948a1e6809a3b...
- ti####.c####.l####.####.com/uploads/post/image/19865/1a2a8625db37299dc5d...
- ti####.c####.l####.####.com/uploads/post/image/19920/b557b141d183c377e9b...
- ti####.c####.l####.####.com/uploads/post/image/19926/4fb9c81f332e72cc642...
- ti####.c####.l####.####.com/uploads/post/image/19957/45e255a995fb54395f5...
- ti####.c####.l####.####.com/uploads/post/image/19997/d41f1f4214a82e0a417...
- ti####.c####.l####.####.com/uploads/post/image/20039/0d26987c3e8de236946...
- ti####.c####.l####.####.com/uploads/post/image/20044/3d20be4696999aff29d...
- ti####.c####.l####.####.com/uploads/post/image/20060/8fe7818ea9492a8ae29...
- ti####.c####.l####.####.com/uploads/post/image/20072/805b00fff83e830aba7...
- ti####.c####.l####.####.com/uploads/post/image/20081/4e83e333e54e5bc06ef...
- ti####.c####.l####.####.com/uploads/post/image/20084/a644a6e46885407a3b8...
- ti####.c####.l####.####.com/uploads/post/image/20092/d5a90e86230e36ffb59...
- ti####.c####.l####.####.com/uploads/post/image/20094/6cc2ea37c5417c874fa...
- ti####.c####.l####.####.com/uploads/post/image/20101/5ab971a3c91f3ab9e33...
- ti####.c####.l####.####.com/uploads/post/image/20107/2c647805afc6c0f4f90...
- ti####.c####.l####.####.com/uploads/post/image/20108/08ad48e5069442a0383...
- ti####.c####.l####.####.com/uploads/post/image/20117/0f44834af2344367bb2...
- ti####.c####.l####.####.com/uploads/post/image/20121/eb40c2941d0111068c8...
- ti####.c####.l####.####.com/uploads/post/image/20130/a13d1fa448ed6822b2f...
- ti####.c####.l####.####.com/uploads/post/image/20131/c24933c216316f896a8...
- ti####.c####.l####.####.com/uploads/post/image/20148/88046cb450da52f1bc4...
- ti####.c####.l####.####.com/uploads/post/image/20150/4f800d087a6db57b319...
- ti####.c####.l####.####.com/uploads/post/image/20151/61840b420da7c3df01a...
- ti####.c####.l####.####.com/uploads/post/image/20170/0aea7447c494fe80a95...
- ti####.c####.l####.####.com/uploads/post/image/20194/cc1fcb6d1d34f80bf6e...
- ti####.c####.l####.####.com/uploads/post/image/20195/f487e957d26b34f0068...
Запросы HTTP POST:
- a####.exc.mob.com/errconf
- c-h####.g####.com/api.php?format=####&t=####
- sdk-ope####.g####.com/api.php?format=####&t=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/-18793917671887067681
- /data/data/####/-500638942-36701351
- /data/data/####/-500638942-471451517
- /data/data/####/-9713428862016317004
- /data/data/####/.jg.ic
- /data/data/####/.lock
- /data/data/####/0b29d72b6c7b4d7a2d6c94b34cdf81fa1fde5b268dda051....0.tmp
- /data/data/####/0b8be8f8e1d03291ed702822ad415cc2041cd9add6966b2....0.tmp
- /data/data/####/0d7da46299af0f3be045368b101e4e36705abed82f40121....0.tmp
- /data/data/####/0f19a484ae35382e937208ae576c053ff4528e87dd3368f....0.tmp
- /data/data/####/0faa4b7bc7f22eddc9221508d274d16bbaa5f87a820f937....0.tmp
- /data/data/####/112ea88e462aeee6e73253ca8e9d8130da869009640eb2e....0.tmp
- /data/data/####/149814abac2fd2797627958d9f0c7f1ea504881521242f1....0.tmp
- /data/data/####/1660062087118899171
- /data/data/####/1762384865-1732878485
- /data/data/####/18683974131926395430
- /data/data/####/1d03330db0dbd467069c682db7fef6ab6624dd3070a39a6....0.tmp
- /data/data/####/1f10288fcecb1b302cc837d924f4cb44eb565b014629ebb....0.tmp
- /data/data/####/2109598905340660954
- /data/data/####/216469120-471919045
- /data/data/####/2164691201424841809
- /data/data/####/21db48414eaa8d7a2ae650e76ace44f379f67eadac09058....0.tmp
- /data/data/####/2f6c8cd0941853faf87e1659ab488e54b33242a25b2b37d....0.tmp
- /data/data/####/422028198631b95fc82cae607018020beea9790b28cbeab....0.tmp
- /data/data/####/4493911471383238614
- /data/data/####/449391147875904768
- /data/data/####/449391147875904799
- /data/data/####/449391147875904830
- /data/data/####/46c198996fa486ef6b9e4c0a5229bf8b30b8de7a3459d5d....0.tmp
- /data/data/####/5e5ee646507b3ab04d08565f5beaaf2591e4a7f2df7441e....0.tmp
- /data/data/####/5e780bb601f26c771c80089abfdc6ad299398afb68dab09....0.tmp
- /data/data/####/5ed186912b6fc06da5a791ce6ca47cca3e704460e82c07b....0.tmp
- /data/data/####/704605589af254e1f6097e17c657fbfb858d0d067eb73ea....0.tmp
- /data/data/####/7051e489d17d025fc2cb75633990b4f5b6c986ebd48feb1....0.tmp
- /data/data/####/77cd5b66ff8e1202136fe1d5e3f543515baed6e45f19e01....0.tmp
- /data/data/####/7a510616eea6bb7dfff35f1c5a421f2488516692b3ae9d7....0.tmp
- /data/data/####/9f5f43b943e2acd124498058002edb9fdf6cca92978f706....0.tmp
- /data/data/####/BannersCache
- /data/data/####/TDCloudSettingsConfigE63B030517C64E628B2D4A4D7839AB13.xml
- /data/data/####/TD_app_pefercen_profile.xml
- /data/data/####/TDpref_longtime.xml
- /data/data/####/TDpref_shorttime.xml
- /data/data/####/TDtcagent.db
- /data/data/####/TDtcagent.db-journal
- /data/data/####/ToolsBannersCache
- /data/data/####/ToolsCache
- /data/data/####/a45c0e673a6b66295f201039f1a817299507f27d6bc4797....0.tmp
- /data/data/####/aa993848e935d65e24c90e5285c16ed7b16bbcdec054a1b....0.tmp
- /data/data/####/aa9c838539b2dc49253251fe1f4016f47129ec37ba199e9....0.tmp
- /data/data/####/b6d21d8460f8f906561675ce82ed2142f7107d9e7ad55a6....0.tmp
- /data/data/####/b88f63cdc9979b8a61267a09568c60ac0ec7f4c6b08f088....0.tmp
- /data/data/####/c2a41fe5f0e9e77b4ce92d1f3d80a7d01b6be2aaa7aceb5....0.tmp
- /data/data/####/c52b5a67c1dadf8a84d55c9b04f2ba4ea3b3ef465f7fe94....0.tmp
- /data/data/####/cc99198b3456fd3f36339e91609d3f84b225672c4fc0d00....0.tmp
- /data/data/####/com.ppdai.kouzi_preferences.xml
- /data/data/####/d2f6506340deb79fb31fae59abcaa0f7b02c3443a5a0005....0.tmp
- /data/data/####/d4890eab03e2db8a1b83192d5afefa0c515854e436fddc7....0.tmp
- /data/data/####/d67590dc83ea6c79f73eecc13f51e5fe60174553d0eb451....0.tmp
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/e38435ba0fe0902ba2f9ba01ba31361469ea4c7136257e7....0.tmp
- /data/data/####/edbb60a53b4b0c760e7d4d254ccab8e774684d92bbb8bf1....0.tmp
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/f_000004
- /data/data/####/gdaemon_20161017
- /data/data/####/gkt-journal
- /data/data/####/gx_sp.xml
- /data/data/####/index
- /data/data/####/init.pid
- /data/data/####/init_c1.pid
- /data/data/####/journal.tmp
- /data/data/####/kouzi_config.xml
- /data/data/####/libjiagu.so
- /data/data/####/mob_commons_1.xml
- /data/data/####/mob_sdk_exception_1.xml
- /data/data/####/push.pid
- /data/data/####/pushext.db-journal
- /data/data/####/pushg.db-journal
- /data/data/####/pushsdk.db-journal
- /data/data/####/run.pid
- /data/data/####/td.lock
- /data/data/####/tdata_SzD730
- /data/data/####/tdata_SzD730.jar
- /data/data/####/tdata_ZCi456
- /data/data/####/tdata_ZCi456.jar
- /data/data/####/tdata_aBz764
- /data/data/####/tdata_aBz764.jar
- /data/data/####/tdid.xml
- /data/data/####/tdlock.txt
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/webviewCookiesChromiumPrivate.db-journal
- /data/media/####/.dic_lock
- /data/media/####/.duid
- /data/media/####/.globalLock
- /data/media/####/.nulplt
- /data/media/####/.pkg_lock
- /data/media/####/.rcTag
- /data/media/####/.rc_lock
- /data/media/####/.tcookieid
- /data/media/####/app.db
- /data/media/####/com.getui.sdk.deviceId.db
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/com.ppdai.kouzi.db
- /data/media/####/gkt-journal
- /data/media/####/gktper
- /data/media/####/tdata_SzD730
- /data/media/####/tdata_ZCi456
- /data/media/####/tdata_aBz764
- /data/media/####/test.log
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/files/gdaemon_20161017 0 <Package>/com.igexin.sdk.PushService 24499 300 0
- chmod 700 <Package Folder>/files/gdaemon_20161017
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- sh
Загружает динамические библиотеки:
- getuiext2
- libjiagu
- neh
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS5Padding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS7Padding
- AES-ECB-NoPadding
- AES-ECB-PKCS5Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
