Adware.Gexin.14440

Техническая информация

Вредоносные функции:

Выполняет код следующих детектируемых угроз:

Adware.Gexin.2.origin

Сетевая активность:

Подключается к:

UDP(DNS) <Google DNS>
TCP(HTTP/1.1) qin####.com.www.####.com:80
TCP(HTTP/1.1) sdk-ope####.g####.com:80
TCP(HTTP/1.1) a####.u####.com:80
TCP(HTTP/1.1) t####.c####.q####.####.com:80
TCP(HTTP/1.1) and####.b####.qq.com:80
TCP(HTTP/1.1) c.appj####.com:80
TCP(HTTP/1.1) c-h####.g####.com:80
TCP sdk.o####.t####.####.com:5224
TCP c####.g####.ig####.com:5226

Запросы DNS:

7j####.c####.z0.####.com
a####.u####.com
and####.b####.qq.com
c####.g####.ig####.com
c-h####.g####.com
c.appj####.com
pub-####.qin####.com
sdk-ope####.g####.com
sdk.c####.ig####.com
sdk.o####.t####.####.com
sdk.o####.t####.####.com
sdk.o####.t####.####.net

Запросы HTTP GET:

qin####.com.www.####.com/tdata_EDT369
t####.c####.q####.####.com/config/hz-hzv6.conf
t####.c####.q####.####.com/tdata_Soq141
t####.c####.q####.####.com/tdata_fEV688
t####.c####.q####.####.com/tdata_hOi150
t####.c####.q####.####.com/tdata_ilz707

Запросы HTTP POST:

a####.u####.com/app_logs
and####.b####.qq.com/rqd/async?aid=####
c-h####.g####.com/api.php?format=####&t=####
c.appj####.com/ad/splash/stats.html
sdk-ope####.g####.com/api.php?format=####&t=####
sdk-ope####.g####.com/api.php?format=####&t=####&d=####&k=####

Изменения в файловой системе:

Создает следующие файлы:

/data/data/####/.imprint
/data/data/####/.jg.ic
/data/data/####/1004
/data/data/####/39dc0ac31250b01a43aabdd8f7f343f3e04f7f5b05ace0e....0.tmp
/data/data/####/GolfSharedPreferences.xml
/data/data/####/a43ce723fe9b99363d6643957ce7f33dc8d39662678245a....0.tmp
/data/data/####/a73874d936ccf8c8de5a13ec7f188cc07610682c701d331....0.tmp
/data/data/####/ad_show_time.xml
/data/data/####/bugly_db_-journal
/data/data/####/cc.db
/data/data/####/cc.db-journal
/data/data/####/cde64a277ae9
/data/data/####/crashrecord.xml
/data/data/####/exchangeIdentity.json
/data/data/####/exid.dat
/data/data/####/gdaemon_20161017
/data/data/####/getui_sp.xml
/data/data/####/gkt-journal
/data/data/####/gx_sp.xml
/data/data/####/init.pid
/data/data/####/init_c1.pid
/data/data/####/jg_app_update_settings_random.xml
/data/data/####/journal.tmp
/data/data/####/libjiagu.so
/data/data/####/local_crash_lock
/data/data/####/multidex.version.xml
/data/data/####/push.pid
/data/data/####/pushext.db-journal
/data/data/####/pushg.db-journal
/data/data/####/pushk.db-journal
/data/data/####/pushsdk.db-journal
/data/data/####/run.pid
/data/data/####/security_info
/data/data/####/tdata_Soq141
/data/data/####/tdata_Soq141.jar
/data/data/####/tdata_fEV688
/data/data/####/tdata_fEV688.jar
/data/data/####/tdata_hOi150
/data/data/####/tdata_hOi150.jar
/data/data/####/tdata_ilz707
/data/data/####/tdata_ilz707.jar
/data/data/####/ua.db
/data/data/####/ua.db-journal
/data/data/####/umeng_general_config.xml
/data/data/####/umeng_it.cache
/data/media/####/app.db
/data/media/####/cn.bocweb.service.bin
/data/media/####/cn.bocweb.service.db
/data/media/####/com.getui.sdk.deviceId.db
/data/media/####/com.igexin.sdk.deviceId.db
/data/media/####/gkt-journal
/data/media/####/gktper
/data/media/####/tdata_Soq141
/data/media/####/tdata_fEV688
/data/media/####/tdata_hOi150
/data/media/####/tdata_ilz707
/data/media/####/test.log

Другие:

Запускает следующие shell-скрипты:

/system/bin/cat /proc/cpuinfo
/system/bin/sh -c getprop
/system/bin/sh -c type su
<Package Folder>/files/gdaemon_20161017 0 <Package>/<Package>.service.GTPushService 24680 300 0
cat /sys/class/net/wlan0/address
chmod 700 <Package Folder>/files/gdaemon_20161017
chmod 755 <Package Folder>/.jiagu/libjiagu.so
getprop
mount
sh
sh <Package Folder>/files/gdaemon_20161017 0 <Package>/<Package>.service.GTPushService 24680 300 0