Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.3.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) reso####.msg.xi####.net:80
- TCP(HTTP/1.1) zb-cent####.m.ta####.com:80
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(HTTP/1.1) oc.u####.com:80
- TCP(HTTP/1.1) g####.ele.me:80
- TCP(TLS/1.0) 1####.217.17.142:443
- TCP(TLS/1.0) zb.wagbr####.alibaba####.####.com:443
- TCP(TLS/1.0) mobile-####.ele.me:443
- TCP(TLS/1.0) regi####.xm####.xi####.com:443
- TCP(TLS/1.0) down####.elem####.com:443
- TCP(TLS/1.0) g####.ele.me:443
- TCP 47.74.1####.155:5222
- UDP 1####.168.103.1:137
- TCP 4####.62.94.2:5222
Запросы DNS:
- a####.ele.me
- a####.u####.com
- acs.m.ta####.com
- and####.b####.qq.com
- down####.elem####.com
- f####.ele.me
- g####.ele.me
- mobile-####.ele.me
- oc.u####.com
- regi####.xm####.xi####.com
- reso####.msg.xi####.net
- y####.ele.me
Запросы HTTP GET:
- g####.ele.me/init
- reso####.msg.xi####.net/gslb/?ver=####&type=####&connpt=####&uuid=####&l...
- zb-cent####.m.ta####.com/gw/mtop.common.getTimestamp/*
Запросы HTTP POST:
- a####.u####.com/app_logs
- and####.b####.qq.com/rqd/async?aid=####
- g####.ele.me/ack
- oc.u####.com/check_config_update
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/0a231bd8575dcf72.txt
- /data/data/####/1002
- /data/data/####/1004
- /data/data/####/9983c160aa044115
- /data/data/####/ANR_MONITOR
- /data/data/####/Access_Preferences.xml
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/Gandalf_Counter.xml
- /data/data/####/MultiDex.lock
- /data/data/####/Q0VSVC5SU0EK.txtb78
- /data/data/####/SGMANAGER_DATA2.tmp
- /data/data/####/SG_INNER_DATA
- /data/data/####/STARTUP_MONITOR
- /data/data/####/SharedPreUtil.xml
- /data/data/####/UTCommon.xml
- /data/data/####/apm_db-journal
- /data/data/####/bugly_db_-journal
- /data/data/####/crashrecord.xml
- /data/data/####/journal.tmp
- /data/data/####/libsgmainso-6.4.87.so.tmp.2936
- /data/data/####/libtencentloc.so
- /data/data/####/local_crash_lock
- /data/data/####/lock.lock
- /data/data/####/me.ele.foundation.xml
- /data/data/####/me.ele.youcai.restaurant-1.apk.classes-78783122.zip
- /data/data/####/me.ele.youcai.restaurant-1.apk.classes855746816.zip
- /data/data/####/me.ele.youcai.restaurant.BETA_VALUES.xml
- /data/data/####/me.ele.youcai.restaurant;pushservice
- /data/data/####/me.ele.youcai.restaurant_Gandalf-journal
- /data/data/####/me.ele.youcai.restaurant_upgrade_manager.xml
- /data/data/####/me_ele_imf_config_manager.xml
- /data/data/####/me_ele_imf_skynet_transporter.xml
- /data/data/####/mipush.xml
- /data/data/####/mipush_account.xml
- /data/data/####/mipush_extra.xml
- /data/data/####/mobclick_agent_online_setting_me.ele.youcai.restaurant.xml
- /data/data/####/multidex.version.xml
- /data/data/####/security_info
- /data/data/####/sgFile.lock
- /data/data/####/sp.lock
- /data/data/####/sp_eleme_foundation.xml
- /data/data/####/tmp-me.ele.youcai.restaurant-2.apk.classes-78783122.zip
- /data/data/####/tmp-me.ele.youcai.restaurant-2.apk.classes855746816.zip
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/unique
- /data/data/####/ut.db-journal
- /data/media/####/.config
- /data/media/####/.nomedia
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/android_83fdd021b1b5249b170907be11eb8b65.apk
- /data/media/####/dd7893586a493dc3
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop androVM.vbox_dpi
- /system/bin/sh -c getprop gsm.sim.state
- /system/bin/sh -c getprop gsm.sim.state2
- /system/bin/sh -c getprop qemu.sf.fake_camera
- /system/bin/sh -c getprop ro.aa.romver
- /system/bin/sh -c getprop ro.board.platform
- /system/bin/sh -c getprop ro.build.fingerprint
- /system/bin/sh -c getprop ro.build.nubia.rom.name
- /system/bin/sh -c getprop ro.build.rom.id
- /system/bin/sh -c getprop ro.build.tyd.kbstyle_version
- /system/bin/sh -c getprop ro.build.version.emui
- /system/bin/sh -c getprop ro.build.version.opporom
- /system/bin/sh -c getprop ro.debuggable
- /system/bin/sh -c getprop ro.genymotion.version
- /system/bin/sh -c getprop ro.gn.gnromvernumber
- /system/bin/sh -c getprop ro.lenovo.series
- /system/bin/sh -c getprop ro.lewa.version
- /system/bin/sh -c getprop ro.meizu.product.model
- /system/bin/sh -c getprop ro.miui.ui.version.name
- /system/bin/sh -c getprop ro.secure
- /system/bin/sh -c getprop ro.vivo.os.build.display.id
- /system/bin/sh -c type su
- getprop androVM.vbox_dpi
- getprop gsm.sim.state
- getprop gsm.sim.state2
- getprop qemu.sf.fake_camera
- getprop ro.aa.romver
- getprop ro.board.platform
- getprop ro.build.fingerprint
- getprop ro.build.nubia.rom.name
- getprop ro.build.rom.id
- getprop ro.build.tyd.kbstyle_version
- getprop ro.build.version.emui
- getprop ro.build.version.opporom
- getprop ro.build.version.release
- getprop ro.debuggable
- getprop ro.genymotion.version
- getprop ro.gn.gnromvernumber
- getprop ro.lenovo.series
- getprop ro.lewa.version
- getprop ro.meizu.product.model
- getprop ro.miui.ui.version.name
- getprop ro.secure
- getprop ro.smartisan.version
- getprop ro.vivo.os.build.display.id
- getprop ro.vivo.os.version
Загружает динамические библиотеки:
- Bugly
- apm
- crashsdk
- sgmainso-6.4
- weexv8
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-GCM-NoPadding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-GCM-NoPadding
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
