Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
- Android.Spy.2442
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) q####.c####.l####.####.com:80
- TCP(HTTP/1.1) sdk.o####.p####.####.com:80
- TCP(HTTP/1.1) dev.kais####.net:80
- TCP(HTTP/1.1) c-h####.g####.com:80
- TCP(HTTP/1.1) l####.cc:80
- TCP(HTTP/1.1) api.kais####.com:80
- TCP(HTTP/1.1) d####.c####.l####.####.com:80
- TCP(HTTP/1.1) sdk.ks-####.com:8989
- TCP(HTTP/1.1) sdkr####.l####.126.net:80
- TCP(HTTP/1.1) gw.kais####.com:80
- TCP(HTTP/1.1) 7x####.v2.com.####.com:80
- TCP(TLS/1.0) et2-na6####.wagbr####.ali####.####.com:443
- TCP(TLS/1.0) lbs.net####.im:443
- TCP(TLS/1.0) z.c####.com:443
- TCP(TLS/1.0) wa####.127.net:443
- TCP(TLS/1.0) dualsta####.wagbr####.ali####.####.com:443
- TCP(TLS/1.0) m.kais####.com:443
- TCP(TLS/1.0) gm.mm####.com:443
- TCP(TLS/1.0) web####.net####.im:443
- TCP(TLS/1.0) gw.kais####.com:443
- TCP(TLS/1.0) c.c####.com:443
- TCP(TLS/1.0) hm.b####.com:443
- TCP(TLS/1.0) d####.c####.l####.####.com:443
- TCP(TLS/1.0) w####.kais####.com:443
- TCP(TLS/1.0) api.kais####.com:443
- TCP cm-1####.ig####.com:5225
- TCP sdk.o####.t####.####.com:5224
Запросы DNS:
- 7j####.c####.z0.####.com
- api.kais####.com
- c####.mm####.com
- c-h####.g####.com
- c.c####.com
- cm-1####.ig####.com
- dev.kais####.net
- gw.kais####.com
- hm.b####.com
- im####.kais####.com
- im####.kais####.com
- l####.cc
- lbs.net####.im
- log.u####.com
- m.kais####.com
- plb####.u####.com
- s4.c####.com
- sdk.c####.ig####.com
- sdk.ks-####.com
- sdk.o####.p####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
- sdkr####.l####.126.net
- st####.kais####.com
- u####.u####.com
- w####.kais####.com
- wa####.127.net
- web####.net####.im
- z11.c####.com
Запросы HTTP GET:
- 7x####.v2.com.####.com/2019-08-26_5d635a864e3a7.jpg
- api.kais####.com/crowdfundingservice2/advert/online/splashscreen?client=...
- api.kais####.com/crowdfundingservice2/common/config?client=####&clientve...
- api.kais####.com/crowdfundingservice2/tool/jumpurl?client=####&clientver...
- d####.c####.l####.####.com/ps-empty.png
- d####.c####.l####.####.com/qy-bg.png
- dev.kais####.net/statistic?d=####
- gw.kais####.com/gateway/api?apiName=####&client=####&clientversion=####&...
- l####.cc/i/sdk/is_gal?imei_md5=####&os=####&p_chklst_version=####&retry_...
- q####.c####.l####.####.com/2019-08-26_5d635a864e3a7.jpg
- q####.c####.l####.####.com/config/hz-hzv6.conf
- q####.c####.l####.####.com/tdata_BVv364
- q####.c####.l####.####.com/tdata_MkX219
- q####.c####.l####.####.com/tdata_RTc910
- q####.c####.l####.####.com/tdata_XeE960
Запросы HTTP POST:
- api.kais####.com/crowdfundingservice2/tool/save/device?client=####&clien...
- c-h####.g####.com/api.php?format=####&t=####
- gw.kais####.com/gateway/?apiName=####&client=####&clientversion=####&app...
- l####.cc/i/sdk/install
- sdk.ks-####.com:8989/api/CanHWDecode/2017-01-01
- sdk.o####.p####.####.com/api.php?format=####&t=####
- sdkr####.l####.126.net/sdk/h265WhiteList/uploadRecord
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/45ac751157ccd8e29fe7484873e35190.js
- /data/data/####/8926e779b0f9904aa05ed84359ecbbbc.js
- /data/data/####/ApplicationCache.db-journal
- /data/data/####/LKME_Server_Request_Queue.xml
- /data/data/####/MultiDex.lock
- /data/data/####/NIMSDK_Config_d05d9eefb31215d72a4182c0fa715d68.xml
- /data/data/####/NIMSDK_Config_d05d9eefb31215d72a4182c0fa715d68_null.xml
- /data/data/####/Netease_SessionData.xml
- /data/data/####/SessionData.xml
- /data/data/####/UM_PROBE_DATA.xml
- /data/data/####/a==7.5.4&&6.9.0_1566849345437_envelope.log
- /data/data/####/ae63326ae203b34159765031d4b725a1.js
- /data/data/####/com.kaistart.android_preferences.xml
- /data/data/####/dW1weF9pbnRlcm5hbF8xNTY2ODQ5MzQzMTEy;
- /data/data/####/dW1weF9zaGFyZV8xNTY2ODQ5Mzc0MDk4;
- /data/data/####/dW1weF9zaGFyZV8xNTY2ODQ5NDAwNjc3;
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/ec05c0ac17a117c48d93a7f8db566feb.jpg.tmp
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/f66748535db2706d1159bf0c153142f6.js
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/f_000004
- /data/data/####/getui_sp.xml
- /data/data/####/gkt-journal
- /data/data/####/i==1.2.0&&6.9.0_1566849343116_envelope.log
- /data/data/####/index
- /data/data/####/info.xml
- /data/data/####/init.pid
- /data/data/####/init_c1.pid
- /data/data/####/ksb_configs.xml
- /data/data/####/ksb_statistics_config.xml
- /data/data/####/ksy_white_list.xml
- /data/data/####/libcuid.so
- /data/data/####/libjiagu731867557.so
- /data/data/####/libweexjsb.so
- /data/data/####/linkedme_referral_shared_pref.xml
- /data/data/####/multidex.version.xml
- /data/data/####/ofl_location.db
- /data/data/####/push.pid
- /data/data/####/pushsdk.db-journal
- /data/data/####/run.pid
- /data/data/####/share.db-journal
- /data/data/####/statisticsksb-journal
- /data/data/####/tdata_BVv364
- /data/data/####/tdata_BVv364.jar
- /data/data/####/tdata_MkX219
- /data/data/####/tdata_RTc910
- /data/data/####/tdata_XeE960
- /data/data/####/tdata_XeE960.jar
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/udesk_sdk.xml
- /data/data/####/um_pri.xml
- /data/data/####/umdat.xml
- /data/data/####/umeng_common_config.xml
- /data/data/####/umeng_common_location.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/umeng_socialize.xml
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/.a.dat
- /data/media/####/.adfwe.dat
- /data/media/####/.cca.dat
- /data/media/####/.cuid
- /data/media/####/.cuid2
- /data/media/####/.lm_device_id
- /data/media/####/.nomedia
- /data/media/####/.umm.dat
- /data/media/####/233afa5ebb8a631ec527842f948e041c.0.tmp
- /data/media/####/233afa5ebb8a631ec527842f948e041c.1.tmp
- /data/media/####/405925004662bdbef9bec80cb201a024.0.tmp
- /data/media/####/405925004662bdbef9bec80cb201a024.1.tmp
- /data/media/####/45f8ccff96a139da2523a9ef2814c62b.0.tmp
- /data/media/####/45f8ccff96a139da2523a9ef2814c62b.1.tmp
- /data/media/####/565bb9daaa72a2ba8dec142cc6e9f162.0.tmp
- /data/media/####/565bb9daaa72a2ba8dec142cc6e9f162.1.tmp
- /data/media/####/63447709b3238b866a8cabc282756618.0.tmp
- /data/media/####/63447709b3238b866a8cabc282756618.1.tmp
- /data/media/####/71e353f9ce79ceddc51ab4a95640dae1.0.tmp
- /data/media/####/71e353f9ce79ceddc51ab4a95640dae1.1.tmp
- /data/media/####/abaeda0e07300da51cd671f449d89eba.0.tmp
- /data/media/####/abaeda0e07300da51cd671f449d89eba.1.tmp
- /data/media/####/app.db
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/com.kaistart.android.bin
- /data/media/####/com.kaistart.android.db
- /data/media/####/da26e09dbfad17ffd2392f5d536a27ae.0.tmp
- /data/media/####/da26e09dbfad17ffd2392f5d536a27ae.1.tmp
- /data/media/####/f5a6d3e568fe866a88accaf97cea72d8.0.tmp
- /data/media/####/f5a6d3e568fe866a88accaf97cea72d8.1.tmp
- /data/media/####/gkt-journal
- /data/media/####/gktper
- /data/media/####/journal
- /data/media/####/journal.tmp
- /data/media/####/ls.db
- /data/media/####/ls.db-journal
- /data/media/####/nim_sdk.log
- /data/media/####/tdata_BVv364
- /data/media/####/tdata_MkX219
- /data/media/####/tdata_RTc910
- /data/media/####/tdata_XeE960
- /data/media/####/test.0
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
- cat /sys/class/net/wlan0/address
- ls /
- ls /sys/class/thermal
Загружает динамические библиотеки:
- getuiext2
- gifimage
- imagepipeline
- libjiagu731867557
- weexjsc
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS5Padding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
