Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) q####.c####.l####.####.com:80
- TCP(HTTP/1.1) c-h####.g####.com:80
- TCP(HTTP/1.1) cdnpu####.c####.com:80
- TCP(HTTP/1.1) sdk.o####.p####.####.com:80
- TCP(TLS/1.0) api.map.b####.com:443
- TCP(TLS/1.0) et2-na6####.wagbr####.ali####.####.com:443
- TCP(TLS/1.0) loc.map.b####.com:443
- TCP(TLS/1.0) www.c####.com:443
- TCP sdk.o####.t####.####.com:5224
- TCP cm-1####.ig####.com:5227
Запросы DNS:
- 7j####.c####.z0.####.com
- a####.u####.com
- api.map.b####.com
- c-h####.g####.com
- cdnpu####.c####.com
- cm-1####.ig####.com
- loc.map.b####.com
- log.u####.com
- pub-####.qin####.com
- s####.u####.com
- sdk-ope####.g####.com
- sdk.c####.ig####.com
- sdk.o####.p####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
- www.c####.com
Запросы HTTP GET:
- cdnpu####.c####.com/PUBLIC/BRAND/140/1.png
- cdnpu####.c####.com/PUBLIC/BRAND/140/14.png
- cdnpu####.c####.com/PUBLIC/BRAND/140/3.png
- cdnpu####.c####.com/PUBLIC/BRAND/140/33.png
- cdnpu####.c####.com/PUBLIC/CAR_IMAGE/2019-08-16/baf41e9e-0ce6-47db-b0b6-...
- cdnpu####.c####.com/PUBLIC/CAR_IMAGE/2019-08-16/e26000e0-932d-487e-b908-...
- cdnpu####.c####.com/PUBLIC/CAR_IMAGE/2019-08-17/56900303-82d9-47d2-b8be-...
- cdnpu####.c####.com/PUBLIC/CAR_IMAGE/2019-08-17/d6dfca4f-ebec-4ca8-bef4-...
- cdnpu####.c####.com/PUBLIC/CAR_IMAGE/2019-08-17/d7902de1-3bd3-4a70-ad92-...
- cdnpu####.c####.com/PUBLIC/CAR_IMAGE/2019-08-17/e5deace8-1a9b-4f1d-b978-...
- cdnpu####.c####.com/PUBLIC/CAR_IMAGE/2019-08-17/f96008e3-616d-4b33-83bf-...
- cdnpu####.c####.com/PUBLIC/CAR_IMAGE/2019-08-18/50346d17-d694-4194-898f-...
- cdnpu####.c####.com/PUBLIC/CAR_IMAGE/2019-08-18/6ffb543a-c042-4793-ad88-...
- cdnpu####.c####.com/PUBLIC/CAR_IMAGE/2019-08-18/851bb0bf-7f65-497d-b19f-...
- cdnpu####.c####.com/PUBLIC/CAR_IMAGE/2019-08-18/b7e2cc17-387f-4aa7-a95f-...
- cdnpu####.c####.com/PUBLIC/reserve_public3/2017-11-02/2f1f3412-090d-4551...
- cdnpu####.c####.com/PUBLIC/reserve_public3/2017-11-02/d0771bd6-4076-4872...
- cdnpu####.c####.com/PUBLIC/reserve_public3/2017-11-02/d3335449-88a7-482b...
- cdnpu####.c####.com/PUBLIC/reserve_public3/2017-11-02/e0cce1a3-3feb-491b...
- cdnpu####.c####.com/PUBLIC/reserve_public3/2017-11-02/fd100ca2-567f-437e...
- cdnpu####.c####.com/PUBLIC/reserve_public3/2017-11-16/14247d47-ac1a-4d69...
- cdnpu####.c####.com/PUBLIC/reserve_public3/2018-01-31/cda9c079-f36d-40e7...
- q####.c####.l####.####.com/config/hz-hzv6.conf
- q####.c####.l####.####.com/tdata_BVv364
- q####.c####.l####.####.com/tdata_EDT369
- q####.c####.l####.####.com/tdata_MkX219
- q####.c####.l####.####.com/tdata_RTc910
- q####.c####.l####.####.com/tdata_XeE960
Запросы HTTP POST:
- a####.u####.com/app_logs
- c-h####.g####.com/api.php?format=####&t=####
- sdk.o####.p####.####.com/api.php?format=####&t=####
- sdk.o####.p####.####.com/api.php?format=####&t=####&d=####&k=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/anr/traces.txt
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/0.72cfa0.js
- /data/data/####/1566137635531.log
- /data/data/####/17.0927a7.js
- /data/data/####/20.544965.js
- /data/data/####/21.593805.js
- /data/data/####/4S-photo.8f6b5e.png
- /data/data/####/4S-photo@3x.aa3c75.png
- /data/data/####/5166df38c8eced25be38096094fc17049063063656fd70f....0.tmp
- /data/data/####/5c67f73162d393ee23b72f30e8b3298883b0f79ea8cba82....0.tmp
- /data/data/####/63eaf54b57986f584afa7853cb9e5086cd3664472361e7e....0.tmp
- /data/data/####/68dd0f09bd849d2b2218f2e9775e3331d6af07a1e154e90....0.tmp
- /data/data/####/6cd9d1a6884107310ef86162fa24431a19a3e5b4adf2f6e....0.tmp
- /data/data/####/7211350240733d0323de26d919d0937b37180198a976c55....0.tmp
- /data/data/####/7395959a16b54bd76906f0d5441d75d5962899d7ddda13c....0.tmp
- /data/data/####/7e7422760b0bffdd798668a248cf5445a6530288182976a....0.tmp
- /data/data/####/7fd97b12eda5b145c8be51d98704f478671d3708fd2011a....0.tmp
- /data/data/####/816b5d17e0c0bfcaf39833da2d75c9d3b4c01396e88341c....0.tmp
- /data/data/####/827c0ecb6fb9eca5b8100423c15a57dc1f3acb82250979e....0.tmp
- /data/data/####/Label@2x.8ae499.png
- /data/data/####/Label@3x.f4945c.png
- /data/data/####/Login-check@2x.223403.png
- /data/data/####/Login-check@3x.89f993.png
- /data/data/####/Login-unchecked@2x.0bbac4.png
- /data/data/####/Login-unchecked@3x.e37657.png
- /data/data/####/MultiDex.lock
- /data/data/####/The_slider.2bbb7a.png
- /data/data/####/The_slider@3x.605bb8.png
- /data/data/####/WEB_ZIP_FILE.zip
- /data/data/####/abnormal.773be1.png
- /data/data/####/abnormal@3x.9ab949.png
- /data/data/####/abouts.7beedf.js
- /data/data/####/activity-Submit@2x.a4bd93.png
- /data/data/####/activity-Submit@3x.0b4bdc.png
- /data/data/####/activity-cash@2x.cdd5a6.png
- /data/data/####/activity-cash@3x.7be74e.png
- /data/data/####/activity.9a80c9.js
- /data/data/####/address@3x.9c22bb.png
- /data/data/####/andriodPhone@2x.97eda2.png
- /data/data/####/andriodPhone@3x.7889ad.png
- /data/data/####/animate-arrow@2x.b89122.gif
- /data/data/####/animate-arrow@3x.da9aad.gif
- /data/data/####/app.css
- /data/data/####/app.d4ae2d.js
- /data/data/####/authStatus_com.btjf.app.cheok.xml
- /data/data/####/authStatus_com.btjf.app.cheok;pushservice.xml
- /data/data/####/authStatus_com.btjf.app.cheok;remote.xml
- /data/data/####/banner-default.fdfb2b.png
- /data/data/####/banner-defaultD.454157.png
- /data/data/####/brandIcon.c651b3.png
- /data/data/####/buy-cars-All-brand.f3cccf.png
- /data/data/####/buy-cars-All-brand@3x.29b966.png
- /data/data/####/buy-cars-choose.d8a741.png
- /data/data/####/buy-cars-choose@3x.691a49.png
- /data/data/####/buy-cars-colorALL.e02120.png
- /data/data/####/buy-cars-colorALL@3x.dfb8a7.png
- /data/data/####/buy-cars-newCAR.17cb1b.png
- /data/data/####/buy-cars-newCAR@3x.6b5a33.png
- /data/data/####/car-default.f15ddb.png
- /data/data/####/car-quotes1@2x.bda363.png
- /data/data/####/car-quotes1@3x.bf02e6.png
- /data/data/####/car-type.5c73b2.png
- /data/data/####/car-wallet@2x.b6c529.png
- /data/data/####/car-wallet@3x.2ca71e.png
- /data/data/####/car.3997a5.js
- /data/data/####/carAppraisal.828171.js
- /data/data/####/carLoan-nobill@2x.7a1725.png
- /data/data/####/carLoan-paidoff@2x.5ae14d.png
- /data/data/####/carLoan-repayment@2x.d56201.png
- /data/data/####/cardetail_seller@2x.fb6d38.png
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/cheok_main.db-journal
- /data/data/####/cheok_static.db
- /data/data/####/cheok_static.db-journal
- /data/data/####/com.btjf.app.commonlib.APP_PREF.xml
- /data/data/####/common.722cef.js
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/de4ad750151d5d3e988b7a6ad4e5c552112f52f39ca2c69....0.tmp
- /data/data/####/default-upgrade@2x.44a0b1.png
- /data/data/####/default-upgrade@3x.0822fd.png
- /data/data/####/del-btn.6b87ae.png
- /data/data/####/del-btn@3x.516f07.png
- /data/data/####/demo.619c9a.js
- /data/data/####/detail_arrow@2x.937e82.png
- /data/data/####/detail_arrow@3x.d8766a.png
- /data/data/####/detail_bg@2x.17c243.png
- /data/data/####/details@2x.3c8d43.png
- /data/data/####/details@3x.3a61d9.png
- /data/data/####/drivingLicense@2x.31e22e.png
- /data/data/####/drivingLicense@3x.fd5da2.png
- /data/data/####/ef21a4ce5a949f9ca8434b192ea1f4b1c24e82a5d327bd0....0.tmp
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/f2c0d4f256b3d461240bc8e630a0d10ebd0874d84f5e180....0.tmp
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/f_000004
- /data/data/####/f_000005
- /data/data/####/f_000006
- /data/data/####/f_000007
- /data/data/####/f_000008
- /data/data/####/failT.450819.png
- /data/data/####/failT@3x.beb487.png
- /data/data/####/firll.dat
- /data/data/####/gdaemon_20161017
- /data/data/####/getui_sp.xml
- /data/data/####/gkt-journal
- /data/data/####/gx_sp.xml
- /data/data/####/home-buycar@2x.8e4aa7.png
- /data/data/####/home-buycar@3x.3797fa.png
- /data/data/####/home-checkIllegal@2x.b6639e.png
- /data/data/####/home-checkIllegal@3x.e7e0f8.png
- /data/data/####/home-evaluation@2x.b9edaa.png
- /data/data/####/home-evaluation@3x.116e59.png
- /data/data/####/home-stagescar@2x.e4de8d.png
- /data/data/####/home-stagescar@3x.05e401.png
- /data/data/####/home_glk@2x.236b2d.png
- /data/data/####/home_glk@3x.a52002.png
- /data/data/####/home_new@2x.7a73f8.png
- /data/data/####/home_new@3x.e02042.png
- /data/data/####/home_priceoff@2x.358a75.png
- /data/data/####/home_priceoff@3x.40832d.png
- /data/data/####/hst.db
- /data/data/####/hst.db-journal
- /data/data/####/iconfont.6f67fc.ttf
- /data/data/####/iconfont.ad326a.woff
- /data/data/####/iconfont.df4ea2.svg
- /data/data/####/iconfont.e53dc8.eot
- /data/data/####/imgLazyload.596318.js
- /data/data/####/imgScroll.32817f.js
- /data/data/####/index
- /data/data/####/index.d1ea07.js
- /data/data/####/index.html
- /data/data/####/init.pid
- /data/data/####/init_c1.pid
- /data/data/####/iscroll.b352ec.js
- /data/data/####/iscroll5.01900f.js
- /data/data/####/journal.tmp
- /data/data/####/labelling@2x.cea0a7.png
- /data/data/####/labelling@3x.324a2b.png
- /data/data/####/libcuid.so
- /data/data/####/libjiagu800728102.so
- /data/data/####/loading.4b2af9.png
- /data/data/####/loading.623c99.gif
- /data/data/####/loading.7929ca.png
- /data/data/####/loading1.d027a7.png
- /data/data/####/login.650bd3.js
- /data/data/####/logo@2x.8fac8a.png
- /data/data/####/logo@3x.18aad9.png
- /data/data/####/manifest.46e22f.js
- /data/data/####/map-arrow.755d8d.png
- /data/data/####/mine.cd93cb.js
- /data/data/####/mobiscroll.09b73c.js
- /data/data/####/moren@2x.41d438.png
- /data/data/####/moren@3x.2e2645.png
- /data/data/####/multidex.version.xml
- /data/data/####/news@2x.7f2978.png
- /data/data/####/news@3x.745486.png
- /data/data/####/noData-appriaisal.4d0d47.png
- /data/data/####/noData-appriaisal@3x.a32f95.png
- /data/data/####/noData-coupon.161e53.png
- /data/data/####/noData-coupon@3x.0a872b.png
- /data/data/####/noDate-peccancy.604d3d.png
- /data/data/####/noDate-peccancy@3x.8d0064.png
- /data/data/####/noRecord.0bb31b.png
- /data/data/####/noRecord@3x.e246f9.png
- /data/data/####/nocontent.310c3d.png
- /data/data/####/nocontent@3x.06273a.png
- /data/data/####/normal.d4c00b.png
- /data/data/####/normal@3x.15da59.png
- /data/data/####/notice.eecdc0.js
- /data/data/####/notice@2x.9db580.png
- /data/data/####/notice@3x.598b76.png
- /data/data/####/overlay.html
- /data/data/####/point.01ea2f.png
- /data/data/####/polyfill.js
- /data/data/####/propagation.224974.js
- /data/data/####/pull-down.14258c.gif
- /data/data/####/pull-icon@2x.a94e46.png
- /data/data/####/push.pid
- /data/data/####/pushext.db-journal
- /data/data/####/pushg.db-journal
- /data/data/####/pushk.db-journal
- /data/data/####/pushsdk.db-journal
- /data/data/####/record.b4477e.png
- /data/data/####/record@2x.4d0d47.png
- /data/data/####/record@3x.193fd9.png
- /data/data/####/record@3x.a32f95.png
- /data/data/####/recordred.e4343e.png
- /data/data/####/recordred@3x.043358.png
- /data/data/####/refresh@3x.c016a8.png
- /data/data/####/round.670f26.png
- /data/data/####/run.pid
- /data/data/####/service.a1b4c8.js
- /data/data/####/share@3x.47b687.png
- /data/data/####/spread.7c2cf5.png
- /data/data/####/spread@3x.b05b33.png
- /data/data/####/submit_fail@2x.5a6000.png
- /data/data/####/submit_fail@3x.904e6e.png
- /data/data/####/submit_sucess@2x.ea355f.png
- /data/data/####/submit_sucess@3x.d14e9b.png
- /data/data/####/sucsessT.fcc6fe.png
- /data/data/####/sucsessT@3x.bbb3bd.png
- /data/data/####/superspecial.22d2ba.js
- /data/data/####/supportBank@2x.1a7c09.png
- /data/data/####/supportBank@3x.a686d8.png
- /data/data/####/tankuang.9954d1.png
- /data/data/####/tankuang@3x.e9924b.png
- /data/data/####/tdata_BVv364
- /data/data/####/tdata_BVv364.jar
- /data/data/####/tdata_MkX219
- /data/data/####/tdata_MkX219.jar
- /data/data/####/tdata_RTc910
- /data/data/####/tdata_RTc910.jar
- /data/data/####/tdata_XeE960
- /data/data/####/tdata_XeE960.jar
- /data/data/####/theme-cut.1d2326.png
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/umeng_socialize.xml
- /data/data/####/vendor.d3e18f.js
- /data/data/####/version.txt
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/xcarloan_Banner@2x.5b8fca.png
- /data/data/####/xcarloan_arrow@2x.6b9568.png
- /data/data/####/xcarloan_arrow@3x.48b0cb.png
- /data/data/####/xcarloan_devide@2x.bfcaeb.png
- /data/data/####/xcarloan_devide@3x.1ef56d.png
- /data/data/####/xcarloan_function1@2x.0d935d.png
- /data/data/####/xcarloan_function2@2x.b5f687.png
- /data/data/####/xcarloan_function3@2x.04fa4a.png
- /data/data/####/xcarloan_tips1@2x.ee2136.png
- /data/data/####/xcarloan_tips2@2x.639ce9.png
- /data/data/####/xcarloan_tips3@2x.0e01da.png
- /data/media/####/.cuid2
- /data/media/####/.nomedia
- /data/media/####/043c7d3e1ae70b1c35a5b01006b1f9d1.0.tmp
- /data/media/####/043c7d3e1ae70b1c35a5b01006b1f9d1.1.tmp
- /data/media/####/1201267d196e5ceaa80d60c0b19d1e8a.0.tmp
- /data/media/####/1201267d196e5ceaa80d60c0b19d1e8a.1.tmp
- /data/media/####/13856cf8b8cad7b8af95cbc6ed2afa3c.0.tmp
- /data/media/####/13856cf8b8cad7b8af95cbc6ed2afa3c.1.tmp
- /data/media/####/48c516fe588a1c1efb358ef44a29e1fe.0.tmp
- /data/media/####/48c516fe588a1c1efb358ef44a29e1fe.1.tmp
- /data/media/####/5d821155a3a05b15914c82c8d6a93db1.0.tmp
- /data/media/####/5d821155a3a05b15914c82c8d6a93db1.1.tmp
- /data/media/####/5e0a5bc6d75ca63fb45b50b09eafc931.0.tmp
- /data/media/####/5e0a5bc6d75ca63fb45b50b09eafc931.1.tmp
- /data/media/####/65afba14c6cc2c327670a90aeaa4458c.0.tmp
- /data/media/####/65afba14c6cc2c327670a90aeaa4458c.1.tmp
- /data/media/####/95930d84f9a06c60f427912855133f02.0.tmp
- /data/media/####/95930d84f9a06c60f427912855133f02.1.tmp
- /data/media/####/96e023b58734d13b990828e741ad2e13.0.tmp
- /data/media/####/96e023b58734d13b990828e741ad2e13.1.tmp
- /data/media/####/9c146bbf0875d10c12d39e3ae8aab056.0.tmp
- /data/media/####/9c146bbf0875d10c12d39e3ae8aab056.1.tmp
- /data/media/####/a33350abc1fb7fc50e85aff26f706127.0.tmp
- /data/media/####/a33350abc1fb7fc50e85aff26f706127.1.tmp
- /data/media/####/a34ce9eb2db0c373c65572f41de84dac.0.tmp
- /data/media/####/a34ce9eb2db0c373c65572f41de84dac.1.tmp
- /data/media/####/afbe9e3bf7b8af75cc0948341636d868.0.tmp
- /data/media/####/afbe9e3bf7b8af75cc0948341636d868.1.tmp
- /data/media/####/app.db
- /data/media/####/c17650122be4b27ff9343659dc307762.0.tmp
- /data/media/####/c17650122be4b27ff9343659dc307762.1.tmp
- /data/media/####/c9be17ac460938d56bb9776379891cd9.0.tmp
- /data/media/####/c9be17ac460938d56bb9776379891cd9.1.tmp
- /data/media/####/cbfd913cfb043a38a8bad9a2b1a7b25e.0.tmp
- /data/media/####/cbfd913cfb043a38a8bad9a2b1a7b25e.1.tmp
- /data/media/####/com.btjf.app.cheok.bin
- /data/media/####/com.btjf.app.cheok.db
- /data/media/####/com.getui.sdk.deviceId.db
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/d719d84ee65974a799c5660815220fba.0.tmp
- /data/media/####/d719d84ee65974a799c5660815220fba.1.tmp
- /data/media/####/e77f57c65d07500af5657ce1e09e333a.0.tmp
- /data/media/####/e77f57c65d07500af5657ce1e09e333a.1.tmp
- /data/media/####/e941d09b1be438d4231ab8baaa58a9a4.0.tmp
- /data/media/####/e941d09b1be438d4231ab8baaa58a9a4.1.tmp
- /data/media/####/gkt-journal
- /data/media/####/gktper
- /data/media/####/journal
- /data/media/####/journal.tmp
- /data/media/####/tdata_BVv364
- /data/media/####/tdata_MkX219
- /data/media/####/tdata_RTc910
- /data/media/####/tdata_XeE960
- /data/media/####/test.log
- /data/media/####/yoh.dat
- /data/media/####/yol.dat
- /data/media/####/yom.dat
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /proc/cpuinfo
- <Package Folder>/files/gdaemon_20161017 0 <Package>/<Package>.service.receiver.GTCustomService 24722 300 0
- cat /sys/class/net/wlan0/address
- chmod 700 <Package Folder>/files/gdaemon_20161017
- chmod 755 <Package Folder>/.jiagu/libjiagu800728102.so
- mount
- sh
- sh <Package Folder>/files/gdaemon_20161017 0 <Package>/<Package>.service.receiver.GTCustomService 24722 300 0
Загружает динамические библиотеки:
- BaiduMapSDK_base_v4_5_0
- getuiext2
- libjiagu800728102
- locSDK7a
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-NoPadding
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-CFB-NoPadding
- AES-ECB-PKCS5Padding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-NoPadding
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS5Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
