Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(DNS) <Google DNS>
- TCP(HTTP/1.1) q####.c####.l####.####.com:80
- TCP(HTTP/1.1) cloud####.fengkon####.com:80
- TCP(HTTP/1.1) 1111030####.dns.wa####.com:80
- TCP(HTTP/1.1) c-h####.g####.com:80
- TCP(HTTP/1.1) up####.sdk.jig####.cn:80
- TCP(HTTP/1.1) s####.m.img####.com:80
- TCP(HTTP/1.1) l####.tbs.qq.com:80
- TCP(HTTP/1.1) cdn.43####.com:80
- TCP(HTTP/1.1) cnhuo####.439####.net:80
- TCP(HTTP/1.1) sdk.o####.p####.####.com:80
- TCP(HTTP/1.1) my.439####.net:80
- TCP(HTTP/1.1) who.wa####.com:80
- TCP(HTTP/1.1) 111106d####.dns.wa####.com:80
- TCP(HTTP/1.1) s####.4####.com:80
- TCP(HTTP/1.1) f####.fengkon####.com:80
- TCP(TLS/1.0) ali-s####.j####.cn:443
- TCP(TLS/1.0) gd-s####.j####.cn:443
- TCP(TLS/1.0) t####.j####.cn:443
- TCP(TLS/1.0) m####.439####.net:443
- TCP(TLS/1.0) yx####.505####.com:443
- TCP(TLS/1.0) ptl####.4####.com:443
- TCP(TLS/1.0) fs.img####.com:443
- TCP(TLS/1.0) h####.505####.com:443
- TCP(TLS/1.0) s####.4####.com:443
- TCP cm-1####.ig####.com:5225
- TCP 1####.230.236.42:7005
- TCP sdk.o####.t####.####.com:5224
- UDP s.j####.cn:19000
- UDP easytom####.com:19000
- UDP 2####.14.153.110:19000
Запросы DNS:
- 1111021####.dns.wa####.com
- 1111030####.dns.wa####.com
- 1111065####.dns.wa####.com
- 111106d####.dns.wa####.com
- 7j####.c####.z0.####.com
- ali-s####.j####.cn
- c-h####.g####.com
- cdn.43####.com
- cloud####.fengkon####.com
- cm-1####.ig####.com
- easytom####.com
- f####.fengkon####.com
- f1.img####.com
- fs.img####.com
- gd-s####.j####.cn
- h####.505####.com
- huo####.4####.cn
- l####.tbs.qq.com
- m####.439####.net
- m.439####.com
- my.4####.com
- ptl####.4####.com
- pub-####.qin####.com
- s####.4####.com
- s####.m.img####.com
- s.j####.cn
- sdk-ope####.g####.com
- sdk.c####.ig####.com
- sdk.o####.p####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
- sis.j####.io
- sj2.img####.com
- t####.j####.cn
- up####.sdk.jig####.cn
- who.wa####.com
- yx####.505####.com
Запросы HTTP GET:
- 1111030####.dns.wa####.com/result?key=####&form=####&
- 111106d####.dns.wa####.com/result?key=####&form=####&
- cdn.43####.com/android/box/game/v4.0/detail-customTab-mareacode-999998.h...
- cdn.43####.com/android/box/general/v1.0/config-resource-mareacode-999998...
- cdn.43####.com/android/box/v1.2/config-tabs-mareacode-999998.html
- cdn.43####.com/app/android/v3.0/config-dailySign-mareacode-999998.html
- cdn.43####.com/app/android/v3.4/config-common-mareacode-999998.html
- cdn.43####.com/app/android/v3.4/config-common.html
- cdn.43####.com/app/android/v4.4.2/game-index-mareacode-999998.html
- cdn.43####.com/app/forums/android/v2.1/chat-faces-mareacode-999998.html
- cdn.43####.com/app/forums/android/v3.3/chat-faces-mareacode-999998.html
- cnhuo####.439####.net/daily/9430.html?f=####
- my.439####.net/forums/
- my.439####.net/mforums/
- q####.c####.l####.####.com/config/hz-hzv6.conf
- q####.c####.l####.####.com/tdata_EDT369
- q####.c####.l####.####.com/tdata_Gni835
- q####.c####.l####.####.com/tdata_YYn966
- q####.c####.l####.####.com/tdata_lOE499
- q####.c####.l####.####.com/tdata_wSS777
- s####.4####.com/
- s####.4####.com/ma~167_20190802110123_5d43a783edac8.gif
- s####.4####.com/ma~539_20190727111346_5d3bc16ab1551.gif
- s####.4####.com/ma~539_20190727111446_5d3bc1a60ee71.png
- s####.4####.com/ma~539_20190727111517_5d3bc1c587d67.png
- s####.4####.com/ma~539_20190727111716_5d3bc23cd3ee0.png
- s####.4####.com/ma~539_20190727111747_5d3bc25b39d0a.png
- s####.4####.com/ma~539_20190727111931_5d3bc2c39a4f4.png
- s####.4####.com/openapi/aliapi-index.html
- s####.m.img####.com/trace/v2/keynote
- who.wa####.com/?key=####&form=####
Запросы HTTP POST:
- c-h####.g####.com/api.php?format=####&t=####
- cdn.43####.com/android/box/player/v4.2/gameRelate-mareacode-999998.html
- cloud####.fengkon####.com/v2/device/conf
- cloud####.fengkon####.com/v2/device/profile
- f####.fengkon####.com/v2/device/profile
- l####.tbs.qq.com/ajax?c=####&k=####
- s####.m.img####.com/trace/<Package>/1.0/360/1100gjJc2yP21zX7VwZCm942c
- s####.m.img####.com/trace/<Package>/1.0/Unknown/.config?version=####
- sdk.o####.p####.####.com/api.php?format=####&t=####
- sdk.o####.p####.####.com/api.php?format=####&t=####&d=####&k=####
- up####.sdk.jig####.cn/v1/push/sdk/postlist
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/.policy
- /data/data/####/1.f8dafd6b.chunk.js
- /data/data/####/1.f8dafd6b.chunk.js.map
- /data/data/####/137deaa0de245bee739a75a9637c81d045975f1984b19ce....0.tmp
- /data/data/####/153d5728f8cf013f3f1482326467ffa0.0.tmp
- /data/data/####/2f81242a94c425ca7151355aadbe2f4d70859207dea80b5....0.tmp
- /data/data/####/35d57e19acf97ab3dfc89b46793d0ff5.0.tmp
- /data/data/####/46bda0584a6ddc7b6880f0bdac0bb9b58c5c5935230ed86....0.tmp
- /data/data/####/4d9adc40a580044a248c823fa8af5d146438b05c6b4871e....0.tmp
- /data/data/####/5ae1635d4549f5e59457c55e1ef21698.0.tmp
- /data/data/####/5b3d39be-029c-4df4-910f-2751d6beb265
- /data/data/####/5d4bfc7c-398a5.download
- /data/data/####/5d4d2804-8025b.download
- /data/data/####/60d01c932743e5510f2c561f9c44092c.0.tmp
- /data/data/####/6f4fb78ad8b7485c586a6380e06388aef843769206a1a8f....0.tmp
- /data/data/####/7ad1444a22c8167df19f640f252ee658fd8347d444bdf54....0.tmp
- /data/data/####/805c8c1c-83bb-47e9-bd28-e9dd77123c59
- /data/data/####/817e3a4c-db36-4567-927b-ae4e63848147
- /data/data/####/82046ceac82b199376265e78bbda0fef3abc9258ac4bb4d....0.tmp
- /data/data/####/886d6d1c9a0aab54e330e637ae69cdfbf685f1c2f3dd58c....0.tmp
- /data/data/####/8fce84c9dece64c6632b90177da94465.0.tmp
- /data/data/####/917c8d37-5716-46f8-8fc3-cc4ab95a1ae8
- /data/data/####/93869d4e1e1faf42150db5c127166bae.0.tmp
- /data/data/####/JPushSA_Config.xml
- /data/data/####/MultiDex.lock
- /data/data/####/MyAnalytics_VERSION_INFO.xml
- /data/data/####/MyAnalytics_device_id.xml
- /data/data/####/MyAnalytics_general_config.xml
- /data/data/####/MyAnalytics_send_config.xml
- /data/data/####/a8aa9841-9bc9-4292-bc8e-f2273fa40496
- /data/data/####/a8af8dab-26f4-482b-97f9-47eff53d2073
- /data/data/####/abbb5d348d861b4461cc6e6d8d3a7d795a63d37c28aa531....0.tmp
- /data/data/####/appPackageNames_v2
- /data/data/####/asset-manifest.json
- /data/data/####/b4689589d3eae64507a6e17b10779cdec7a7a94f43d62de....0.tmp
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/cn.jpush.android.user.profile.xml
- /data/data/####/cn.jpush.preferences.v2.rid.xml
- /data/data/####/cn.jpush.preferences.v2.xml
- /data/data/####/com.m4399.gamecenter_preferences.xml
- /data/data/####/com.m4399.gamecenter_preferences.xml.bak
- /data/data/####/com.shumei.xml
- /data/data/####/core_info
- /data/data/####/d8f21603dac0149b2fa39ab374b69d1a9a67303aa35bb1f....0.tmp
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/download_upload
- /data/data/####/downloads.db-journal
- /data/data/####/ee51946a-e713-4126-86eb-2b243f8d1053
- /data/data/####/f_000001
- /data/data/####/favicon.ico
- /data/data/####/fc29e0ad881326eea94f766387070507fece6c21555eb7e....0.tmp
- /data/data/####/framework.db-journal
- /data/data/####/gamecenter183.db-journal
- /data/data/####/gdaemon_20161017
- /data/data/####/getui_sp.xml
- /data/data/####/gkt-journal
- /data/data/####/index
- /data/data/####/index.html
- /data/data/####/init.pid
- /data/data/####/init_c1.pid
- /data/data/####/journal.tmp
- /data/data/####/jpush_device_info.xml
- /data/data/####/jpush_stat_cache.json
- /data/data/####/jpush_stat_cache_history.json
- /data/data/####/jpush_statistics.db
- /data/data/####/jpush_statistics.db-journal
- /data/data/####/jpush_statistics.db-shm (deleted)
- /data/data/####/jpush_statistics.db-wal
- /data/data/####/libjiagu1858054988.so
- /data/data/####/loading1.png
- /data/data/####/loading2.png
- /data/data/####/loading3.png
- /data/data/####/loading_content0.png
- /data/data/####/loading_content1.png
- /data/data/####/loading_content2.png
- /data/data/####/loading_content3.png
- /data/data/####/loading_content5.png
- /data/data/####/m4399AppEmoji3.0.json
- /data/data/####/m4399BBSEmoji3.0.json
- /data/data/####/main.453be2bd.css
- /data/data/####/main.5e560635.css
- /data/data/####/main.5faa1aa2.js
- /data/data/####/main.607c0443.js
- /data/data/####/main.8068e237.chunk.css
- /data/data/####/main.8068e237.chunk.css.map
- /data/data/####/main.92ca4635.css
- /data/data/####/main.acda91e5.chunk.js
- /data/data/####/main.acda91e5.chunk.js.map
- /data/data/####/main.e684b8a7.js
- /data/data/####/manifest.json
- /data/data/####/mobclick_agent_cached_com.m4399.gamecenter1365
- /data/data/####/multidex.version.xml
- /data/data/####/placeholder.png
- /data/data/####/placeholder_00001565656061228001.dirty.xcrash
- /data/data/####/placeholder_00001565656061229002.clean.xcrash
- /data/data/####/placeholder_00001565656061229003.dirty.xcrash
- /data/data/####/placeholder_00001565656061229004.clean.xcrash
- /data/data/####/placeholder_00001565656061229005.dirty.xcrash
- /data/data/####/placeholder_00001565656061230006.clean.xcrash
- /data/data/####/plugin.meta
- /data/data/####/precache-manifest.8772885af9f55e8b657d57621596f2d0.js
- /data/data/####/pref.headup.message.chat.unread.pt
- /data/data/####/pref.paperdb.key.image.urls.pt
- /data/data/####/push.pid
- /data/data/####/pushext.db-journal
- /data/data/####/pushg.db-journal
- /data/data/####/pushk.db-journal
- /data/data/####/pushsdk.db-journal
- /data/data/####/run.pid
- /data/data/####/runtime~main.54148531.js
- /data/data/####/runtime~main.54148531.js.map
- /data/data/####/seq.xml
- /data/data/####/service-worker.js
- /data/data/####/skin_main_plugin_pref.xml
- /data/data/####/statistics_agent_cached_com.m4399.gamecenter
- /data/data/####/t2v666.meta
- /data/data/####/t3v176.meta
- /data/data/####/tbs_download_config.xml
- /data/data/####/tbs_download_stat.xml
- /data/data/####/tbs_pv_config
- /data/data/####/tbscoreinstall.txt
- /data/data/####/tbslock.txt
- /data/data/####/tdata_Gni835
- /data/data/####/tdata_Gni835.jar
- /data/data/####/tdata_YYn966
- /data/data/####/tdata_YYn966.jar
- /data/data/####/tdata_lOE499
- /data/data/####/tdata_lOE499.jar
- /data/data/####/tdata_wSS777
- /data/data/####/tdata_wSS777.jar
- /data/data/####/template.zip
- /data/data/####/tracker.db-journal
- /data/data/####/type1
- /data/data/####/type2
- /data/data/####/type3
- /data/data/####/umeng_general_config.xml
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/.disys
- /data/media/####/.nomedia
- /data/media/####/.push_deviceid
- /data/media/####/.thumbcache_idx0
- /data/media/####/.udid
- /data/media/####/.z49ids
- /data/media/####/app.db
- /data/media/####/com.getui.sdk.deviceId.db
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/com.m4399.gamecenter.bin
- /data/media/####/com.m4399.gamecenter.db
- /data/media/####/gkt-journal
- /data/media/####/gktper
- /data/media/####/plugin_init.log
- /data/media/####/shumei.txt
- /data/media/####/tdata_Gni835
- /data/media/####/tdata_YYn966
- /data/media/####/tdata_lOE499
- /data/media/####/tdata_wSS777
- /data/media/####/test.log
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/files/gdaemon_20161017 0 <Package>/<Package>.service.GTPushService 24788 300 0
- cat /proc/self/cgroup
- chmod 700 <Package Folder>/files/gdaemon_20161017
- dmesg
- getprop
- getprop net.dns1
- getprop ro.product.cpu.abi
- grep -i blueStacks
- grep -i virtualbox
- logcat -c
- ls /system/bin
- ps
- sh
Загружает динамические библиотеки:
- getuiext2
- jcore123
- libjiagu1858054988
- m4399
- smsdk
- xcrash
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-ECB-PKCS5Padding
- AES-ECB-PKCS7Padding
- RSA-ECB-NoPadding
- RSA-ECB-PKCS1Padding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-ECB-NoPadding
- DES-ECB-NoPadding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Осуществляет доступ к интерфейсу камеры.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
