Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(HTTP/1.1) 2####.205.146.14:80
- TCP(HTTP/1.1) p####.api.xinhu####.com:81
- UDP(NTP) 2.and####.p####.####.org:123
- TCP(TLS/1.0) apip####.xinhu####.com:443
- TCP(TLS/1.0) 1####.217.17.78:443
- TCP(TLS/1.0) dualsta####.wagbr####.ali####.####.com:443
- TCP(TLS/1.0) et2-na6####.wagbr####.ali####.####.com:443
- TCP(TLS/1.0) xinhuaa####.oss-cn-####.aliy####.com:443
- TCP(TLS/1.0) and####.google####.com:443
- TCP(TLS/1.0) 1####.217.168.202:443
- TCP(TLS/1.2) and####.google####.com:443
- TCP(TLS/1.2) 1####.217.168.202:443
- TCP(TLS/1.2) 1####.217.17.78:443
Запросы DNS:
- 2.and####.p####.####.org
- and####.b####.qq.com
- and####.google####.com
- apip####.xinhu####.com
- instant####.google####.com
- log.u####.com
- p####.api.xinhu####.com
- plb####.u####.com
- st####.xinhu####.com
- u####.u####.com
- xinhuaa####.oss-cn-####.aliy####.com
Запросы HTTP POST:
- and####.b####.qq.com/rqd/async?aid=####
- p####.api.xinhu####.com:81/Service/MainBizSvr.svc/Encryptinit
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/.jgck
- /data/data/####/020894891281cb8a_0
- /data/data/####/020894891281cb8a_1
- /data/data/####/0382c9ca77f8109c_0
- /data/data/####/05d0549d7d0cc5b50e970a81316ae435f4fa9cdfb12d09f....0.tmp
- /data/data/####/0dafc791d658e874285edf2a1ec35b5b0bbd8b65bccf79d....0.tmp
- /data/data/####/1004
- /data/data/####/1ad716dfc6fff4a1_0
- /data/data/####/1b519f432547ab161563e47354aac012c22a66a29b2143d....0.tmp
- /data/data/####/40141f9d2fe07c9e6de0a6b1756a4803585e5ce70687886....0.tmp
- /data/data/####/5cfdc3917e8f2ea6b1aad1d5cd9e069e910440e2197541a....0.tmp
- /data/data/####/6649e05bf27558d633f4b820dc43049ecc17f4b723449e7....0.tmp
- /data/data/####/743ee4dd6602bc81_0
- /data/data/####/743ee4dd6602bc81_1
- /data/data/####/7e8651fcd95773f43694f38a14819ce71332611ae2924d4....0.tmp
- /data/data/####/90c668b52aa4e30ce95a9b30efdd9b1bb2c8cf39d6bacde....0.tmp
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/Cookies-journal
- /data/data/####/IMEI.xml
- /data/data/####/SP_AROUTER_CACHE.xml
- /data/data/####/SP_AROUTER_CACHE.xml.bak
- /data/data/####/UM_PROBE_DATA.xml
- /data/data/####/WebViewChromiumPrefs.xml
- /data/data/####/afbb271facfd1f0c982f9ffe051fc6ec9d5983a29446f8c....0.tmp
- /data/data/####/b29985c2051a2d61_0
- /data/data/####/b6258e8a8f1166a3_0
- /data/data/####/b6258e8a8f1166a3_1
- /data/data/####/bugly_db_-journal
- /data/data/####/c9ddaefee2331487e122e4e4a80a572949fbf82a6313dd9....0.tmp
- /data/data/####/classes.oat
- /data/data/####/config_new.xml
- /data/data/####/dW1weF9pbnRlcm5hbF8xNTY1MjI2NDY0OTUy;
- /data/data/####/dW1weF9pbnRlcm5hbF8xNTY1MjI2NDcxMTQz;
- /data/data/####/de566cf5c0b625e7_0
- /data/data/####/de566cf5c0b625e7_1
- /data/data/####/de5ce3c6fe751cf1a76ada7f20035ceb84b99c9846f7e7e....0.tmp
- /data/data/####/debug.conf
- /data/data/####/download_upload
- /data/data/####/efabb2c6f70424ee29aeebd33f881cc2b7610c53e2054e4....0.tmp
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/f9bc60c5547f3f7057558f9d3982737e74111fd19107ee9....0.tmp
- /data/data/####/i==1.2.0&&4.0.0_1565226465404_envelope.log
- /data/data/####/index
- /data/data/####/info.xml
- /data/data/####/jjrb_db-journal
- /data/data/####/journal.tmp
- /data/data/####/local_crash_lock
- /data/data/####/local_crash_lock (deleted)
- /data/data/####/metrics_guid
- /data/data/####/native_record_lock
- /data/data/####/net.xinhuamm.d0237_preferences.xml
- /data/data/####/proc_auxv
- /data/data/####/security_info
- /data/data/####/share.db-journal
- /data/data/####/t==8.0.0&&4.0.0_1565226464960_envelope.log
- /data/data/####/tbs_download_config.xml
- /data/data/####/tbs_download_stat.xml
- /data/data/####/the-real-index
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/um_pri.xml
- /data/data/####/umdat.xml
- /data/data/####/umeng_common_config.xml
- /data/data/####/umeng_common_location.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/umeng_socialize.xml
- /data/misc/####/primary.prof
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
- ls /
- ls /sys/class/thermal
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-GCM-NoPadding
- DESede-ECB-PKCS7Padding
- RSA-ECB-NoPadding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS7Padding
- AES-GCM-NoPadding
- DESede-ECB-PKCS7Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Отрисовывает собственные окна поверх других приложений.
