Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) q####.c####.l####.####.com:80
- TCP(HTTP/1.1) gd.a.s####.com:80
- TCP(HTTP/1.1) na61-####.wagbr####.ali####.####.com:80
- TCP(HTTP/1.1) ada####.m.ta####.com:80
- TCP(HTTP/1.1) norma-e####.m####.com:80
- TCP(HTTP/1.1) hk.wagbr####.non####.####.com:80
- TCP(HTTP/1.1) l####.tbs.qq.com:80
- TCP(HTTP/1.1) zb-cent####.m.ta####.com:80
- TCP(HTTP/1.1) 1####.29.29.29:80
- TCP(HTTP/1.1) o####.jd.com:80
- TCP(HTTP/1.1) ad####.m.ta####.com:80
- TCP(HTTP/1.1) c-h####.g####.com:80
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) sdk-ope####.g####.com:80
- UDP(NTP) 4####.32.4.67:123
- UDP(NTP) 2.and####.p####.####.org:123
- TCP(TLS/1.0) 2####.152.136.41:443
- TCP(TLS/1.0) nbsdk-b####.al####.com:443
- TCP(TLS/1.0) ke####.jd.com:443
- TCP(TLS/1.0) res####.a####.com:443
- TCP(TLS/1.0) d####.k.jd.com:443
- TCP(TLS/1.0) a####.m.jd.com:443
- TCP(TLS/1.0) www.j####.com:443
- TCP(TLS/1.0) m####.m.jd.com:443
- TCP(TLS/1.0) m.yidou####.com.####.com:443
- TCP(TLS/1.0) yidou####.b0.a####.com:443
- TCP cm-1####.ig####.com:5224
- TCP sdk.o####.t####.####.com:5224
Запросы DNS:
- 2.and####.p####.####.org
- 7j####.c####.z0.####.com
- a####.m.jd.com
- a####.u####.com
- acs4bai####.m.ta####.com
- ad####.m.ta####.com
- ada####.m.ta####.com
- c-h####.g####.com
- cm-1####.ig####.com
- d####.k.jd.com
- dgst####.jd.com
- img.yidou####.com
- ke####.jd.com
- l####.tbs.qq.com
- l####.tim.qq.com
- m####.m.jd.com
- m.yidou####.com
- nbsdk-b####.al####.com
- norma-e####.m####.com
- o####.jd.com
- pv.s####.com
- res####.a####.com
- sdk-ope####.g####.com
- sdk.c####.ig####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
- wb.110.ta####.com
- y####.al####.com
Запросы HTTP GET:
- ad####.m.ta####.com/rest/gc2?ak=####&av=####&c=####&d=####&sv=####&t=###...
- gd.a.s####.com/cityjson?ie=####
- norma-e####.m####.com/android/exchange/getpublickey.do
- q####.c####.l####.####.com/config/hz-hzv6.conf
- q####.c####.l####.####.com/tdata_TFm375
- q####.c####.l####.####.com/tdata_TOj019
- q####.c####.l####.####.com/tdata_VsN224
- q####.c####.l####.####.com/tdata_zLd832
- zb-cent####.m.ta####.com/gw-open/mtop.taobao.tbk.sdk.config/1.0/?data=####
Запросы HTTP POST:
- a####.u####.com/app_logs
- ada####.m.ta####.com/rest/sur?ak=####&av=####&c=####&v=####&s=####&d=###...
- c-h####.g####.com/api.php?format=####&t=####
- hk.wagbr####.non####.####.com/saveWb.json
- l####.tbs.qq.com/ajax?c=####&k=####
- na61-####.wagbr####.ali####.####.com/api/update.do
- norma-e####.m####.com/push/android/external/add.do
- o####.jd.com/upload
- sdk-ope####.g####.com/api.php?format=####&t=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/anr/traces.txt
- /data/data/####/-1112787901-1390263196
- /data/data/####/-1112787901-375037911
- /data/data/####/-1112787901-588579554
- /data/data/####/-11127879011315218970
- /data/data/####/-12546755959200306
- /data/data/####/-1462091168
- /data/data/####/-3889048461158377233
- /data/data/####/-398904754-559703515
- /data/data/####/-7613060141878821057
- /data/data/####/-n5qGhd22BfGD2XLBXWN719cafE.827057639.tmp
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/0764d50b7acee0e9b17f0171f58412c199b46f190f202ff....0.tmp
- /data/data/####/0890b987b29d4488f09e949709b2dce2606d1bdf391df00....0.tmp
- /data/data/####/0a231bd8575dcf72.txt
- /data/data/####/15cc0d79aa113eef9f732ba322d887aca9d0f3c2f4a2d97....0.tmp
- /data/data/####/1741177106
- /data/data/####/1788247419-1756970718
- /data/data/####/1788247419-512613843
- /data/data/####/189726592e64c807772ebe12c83b1068ab554ec3dc4d8c0....0.tmp
- /data/data/####/1d2b904cbeadfb72ed9546111a231c85.0
- /data/data/####/1d77ea041509fe06.lock
- /data/data/####/1db910e78567fd5aa4e03611ef076cef8ea556276ad0df4....0.tmp
- /data/data/####/21c22f492aba3de8.lock
- /data/data/####/2c6d103f2d4f8a8ce4b3d02671bfba89f4766238c2380e8....0.tmp
- /data/data/####/2d60a2f1e131c7b5da6b12c33fe74e018d42941d242674f....0.tmp
- /data/data/####/480040051106041733
- /data/data/####/480040051621987596
- /data/data/####/4919772cecf802a8feaeeb9bf7bb7cc5cd4ead2c2875daf....0.tmp
- /data/data/####/4a75a4b5d1450ac01206805bfd9fa744dd0ef842902544a....0.tmp
- /data/data/####/4d95b523fa96b81dd1b414bf6539a324058f91a49f7e66f....0.tmp
- /data/data/####/4f61144017a5000c2771530188face5f608e557a857ed0a....0.tmp
- /data/data/####/5188546321489104626
- /data/data/####/538d31a68ae3ef6e4bc85b1522d10d9cb72bf1a96b01eae....0.tmp
- /data/data/####/576853971389769720
- /data/data/####/576853971991913083
- /data/data/####/5cdd9779c95eba46cfa06dad1a20fa46235fa7ffc371a41....0.tmp
- /data/data/####/604e0969a1be6aa695f83e4c89cdd8f84de6340bf65150a....0.tmp
- /data/data/####/72bd3fffd64650ea0216e81b21ec46db6dd409a73557cd7....0.tmp
- /data/data/####/77f0d9053fba6b119bb4cc54afc3f9f07b73e26078ee009....0.tmp
- /data/data/####/7a8db41993dfea5d9859feb7b34db0051371308bff7ec69....0.tmp
- /data/data/####/7ae89c46516ddd60f397afba390f9902fbf0b0c0c5fa7a5....0.tmp
- /data/data/####/81297baa07531d66300b8e563afd7b5e995744eed6504d6....0.tmp
- /data/data/####/89ad7ddd985e34620780b948865ff658f46d47fe690b984....0.tmp
- /data/data/####/8a03b1c2390efc6e4e3371fe8acb2989d2e719d34a9d5cd....0.tmp
- /data/data/####/8ef9c457b3bbb403.lock
- /data/data/####/92f555c4fc7e48bbec50a63aac6188e629bb6297fce51fb....0.tmp
- /data/data/####/930a31b34bd52c08.lock
- /data/data/####/989127670ea031f793c334146db7d0ce55f66e20c5d0144....0.tmp
- /data/data/####/AlibcLinkPartner.xml
- /data/data/####/Alvin2.xml
- /data/data/####/BuglySdkInfos.xml
- /data/data/####/CW6dtE95AMbJia0hfZuLqw6vtos.571166368.tmp
- /data/data/####/ContextData.xml
- /data/data/####/DeviceInfo.xml
- /data/data/####/GtJUIaJVLWtMr3_bzx46TMwD1SY.109753083.tmp
- /data/data/####/M1-7Gdfvi6Gd3Om4jx5CXoSFQZY.-1103234464.tmp
- /data/data/####/MpSx-2FCSW8iw-6aZGGbePtW2tY.-441650470.tmp
- /data/data/####/MultiDex.lock
- /data/data/####/PWBnDcylkYZ49FEcHfm5O6poIuU.-968647015.tmp
- /data/data/####/QB-m1ynltbc2JpMe6mNISgO3TV8.618869976.tmp
- /data/data/####/SGMANAGER_DATA2.tmp
- /data/data/####/UTCommon.xml
- /data/data/####/_net_data_
- /data/data/####/a3666b8b6e806076d15d65c9418cedcf70c83cd383c20ab....0.tmp
- /data/data/####/a4bc24a0504def2f4254c28023c79b3b4df1d9071a52f15....0.tmp
- /data/data/####/a84e22c8ec5faf548cff280dbbb72de95d072f5edfe67de....0.tmp
- /data/data/####/a9b822867c9adac39a6a1db3aef6ec0b6098f416055fe1a....0.tmp
- /data/data/####/afc0f19ff161059826f61b04fb63d9c91ab56dae49f8fb7....0.tmp
- /data/data/####/aliTradeConfigSP.xml
- /data/data/####/ap.Lock
- /data/data/####/appshare.xml
- /data/data/####/auth_shared.xml
- /data/data/####/b04834890edfb0bf17f21dec11de31b9abd01cded13b980....0.tmp
- /data/data/####/b804d33609dfb4a66b55a4c1d684751fae8903ffb60d977....0.tmp
- /data/data/####/b87f48cf5bf69a869339bec1e0fd7f270c4d48047986965....0.tmp
- /data/data/####/c0586a10777146560765a69231d89beb.xml
- /data/data/####/c1c66613cf011dcc1f011cd516f09fb363e6cd6d7e781ec....0.tmp
- /data/data/####/c7jbC_U-pGCaopJOOig78GapLEc.-1501129073.tmp
- /data/data/####/c_uR4l7xNd0wzXJcMHkR7NQGCkc.1894835294.tmp
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/cd977a8591a769b65545bf7ff10eff13947cbbb9f0933cf....0.tmp
- /data/data/####/com.x.y.1.xml
- /data/data/####/com.x.y.2.xml
- /data/data/####/com.yidoutang.app_preferences.xml
- /data/data/####/core_info
- /data/data/####/d4486b57adbbe3c7ca6b6f0b47a25ab6a77560bac9894d8....0.tmp
- /data/data/####/d712496b281c5dfcf1151df67d272465dde0492a53dbf87....0.tmp
- /data/data/####/dd50e00e33001c8b741735622eadd01b686887c6c388d43....0.tmp
- /data/data/####/deviceid_prefs.xml
- /data/data/####/download_upload
- /data/data/####/dso_deps
- /data/data/####/dso_lock
- /data/data/####/dso_manifest
- /data/data/####/dso_state
- /data/data/####/e00cb5d80523ae8a6484512321219b2997c41e996a4e50a....0.tmp
- /data/data/####/e194aac748de22e7344f6c46def1312a1e3482bdd650e85....0.tmp
- /data/data/####/eff8184f4ffab42aae96c2b8eac87616b543368b0b61c8a....0.tmp
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/f7fed7271c5d952ff520f0edf3be0e7590892c08b766ce3....0.tmp
- /data/data/####/fG-amrDLSahsvaxp50ahI1RPaUo.-19076405.tmp
- /data/data/####/fbe2c4b50a983a8927cd5a7505cdfd8227d62ee619f5588....0.tmp
- /data/data/####/getui_sp.xml
- /data/data/####/hmdb
- /data/data/####/hmdb-journal
- /data/data/####/init.pid
- /data/data/####/init_c1.pid
- /data/data/####/journal
- /data/data/####/journal.tmp
- /data/data/####/k.store
- /data/data/####/kepler_public.xml
- /data/data/####/kknb7Ccyjo3BPKegiF2mxtfaMBQ.-1178318919.tmp
- /data/data/####/libjiagu-290512870.so
- /data/data/####/libsgmainso-5.1.81.so.tmp
- /data/data/####/lock.lock
- /data/data/####/logdb.db
- /data/data/####/logdb.db-journal
- /data/data/####/multidex.version.xml
- /data/data/####/mz_push_preference.xml
- /data/data/####/onesdk_device.xml
- /data/data/####/pref.xml
- /data/data/####/push.pid
- /data/data/####/pushk.db-journal
- /data/data/####/pushsdk.db-journal
- /data/data/####/q8ydr-_NhQY_l-2_ZaiDGt_rFv4.-2060454169.tmp
- /data/data/####/qY4dRF2yp8QSDbxwUSxiYXqSdEs.376050237.tmp
- /data/data/####/run.pid
- /data/data/####/sp.lock
- /data/data/####/statisticDB
- /data/data/####/statisticDB-journal
- /data/data/####/susri07LjG2GeiE3r8R929vCI_Q.311708261.tmp
- /data/data/####/tbs_download_config.xml
- /data/data/####/tbs_download_stat.xml
- /data/data/####/tbs_pv_config
- /data/data/####/tbscoreinstall.txt
- /data/data/####/tbslock.txt
- /data/data/####/tdata_TOj019
- /data/data/####/tdata_TOj019.jar
- /data/data/####/timestamp
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_general_config.xml.bak
- /data/data/####/umeng_it.cache
- /data/data/####/ut.db
- /data/data/####/ut.db-journal
- /data/data/####/wb5x-sLatOaauFd1a4JA9WH8jJI.936793403.tmp
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/webviewCookiesChromiumPrivate.db
- /data/data/####/webviewCookiesChromiumPrivate.db-journal
- /data/data/####/ydtuserdata
- /data/data/####/ydtuserdata-journal
- /data/media/####/.nomedia
- /data/media/####/1565876595231.db
- /data/media/####/1565876613558.db
- /data/media/####/18d2ed21a6e7170c48de5438de9b9d8e
- /data/media/####/2019-08-15.log.txt
- /data/media/####/31hscv4zk5k30m5ha7zoc68ui0.tmp
- /data/media/####/6c709c11d2d46a7b
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/alsn20170807.db
- /data/media/####/alsn20170807.db-journal
- /data/media/####/app.db
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/com.yidoutang.app.bin
- /data/media/####/com.yidoutang.app.db
- /data/media/####/d41d8cd98f00b204e9800998ecf8427e
- /data/media/####/dd7893586a493dc3
- /data/media/####/dfe55732e3ae9e6e6f3a4348457e1ba7
- /data/media/####/hid.dat
- /data/media/####/imsdk_20190815.log
- /data/media/####/journal
- /data/media/####/journal.tmp
- /data/media/####/tdata_TOj019
Другие:
Запускает следующие shell-скрипты:
- getprop ro.product.cpu.abi
Загружает динамические библиотеки:
- ImSDK
- X86Bridge
- c++_shared
- getuiext3
- libimagepipeline
- libjiagu-290512870
- mmkv
- sgmainso-5.1
- ut_c_api
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- DES-ECB-PKCS5Padding
- RSA-ECB-NoPadding
- RSA-ECB-PKCS1Padding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- DES-ECB-PKCS5Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
