Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) q####.c####.l####.####.com:80
- TCP(HTTP/1.1) ti####.c####.l####.####.com:80
- TCP(HTTP/1.1) up####.qian####.cc####.####.cn:80
- TCP(HTTP/1.1) c-h####.g####.com:80
- TCP(HTTP/1.1) qin####.com.www.####.com:80
- TCP(HTTP/1.1) sdk.l####.360.cn:80
- TCP(HTTP/1.1) sdk.o####.p####.####.com:80
- TCP(HTTP/1.1) p.s.3####.cn:80
- TCP(HTTP/1.1) sdk-ope####.g####.com:80
- TCP(HTTP/1.1) sdk.s.360.####.com:80
- TCP(HTTP/1.1) k####.b####.com:80
- TCP(SSL/3.0) p0.ssl.q####.com:443
- TCP(TLS/1.0) p4.ssl.cdn.####.com:443
- TCP(TLS/1.0) p0.ssl.q####.com:443
- TCP(TLS/1.0) api.app.b####.com:443
- TCP(TLS/1.0) res####.a####.com:443
- TCP(TLS/1.0) c####.b####.com:443
- TCP(TLS/1.0) nbre####.4para####.com:443
- TCP(TLS/1.0) p1.ssl.cdn.####.com:443
- TCP cm-1####.ig####.com:5225
- TCP sdk.o####.t####.####.com:5224
Запросы DNS:
- 7j####.c####.z0.####.com
- amap####.cn-hang####.oss####.####.com
- api.app.b####.com
- api.b####.com
- c####.b####.com
- c-h####.g####.com
- cm-1####.ig####.com
- k####.b####.com
- nbre####.4para####.com
- p.s.3####.cn
- p0.ssl.cdn.####.com
- p0.ssl.q####.com
- p1.ssl.cdn.####.com
- p2.ssl.cdn.####.com
- p3.ssl.cdn.####.com
- p4.ssl.cdn.####.com
- pub-####.qin####.com
- res####.a####.com
- s####.s.360.cn
- sdk-ope####.g####.com
- sdk.c####.ig####.com
- sdk.l####.360.cn
- sdk.o####.p####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
- up####.qian####.com
Запросы HTTP GET:
- k####.b####.com/
- q####.c####.l####.####.com/config/hz-hzv6.conf
- qin####.com.www.####.com/tdata_EDT369
- sdk.l####.360.cn/codec?os=####&tm=####&model=####&r=####&package=####&pi...
- sdk.l####.360.cn/news_android_53001.conf?os=####&tm=####&r=####&package=...
- sdk.l####.360.cn/rtc2?sign=####&os=####&tm=####&model=####&r=####&packag...
- sdk.o####.p####.####.com/api/addr.htm
- sdk.s.360.####.com/ak/a0a080f42e6f13b3a2df133f073095dd.html?m2=####
- ti####.c####.l####.####.com/tdata_Gni835
- ti####.c####.l####.####.com/tdata_WJE468
- ti####.c####.l####.####.com/tdata_YYn966
- ti####.c####.l####.####.com/tdata_tYM194
- up####.qian####.cc####.####.cn/2019/0909/1567999383168.jpg?gid=####
Запросы HTTP POST:
- c-h####.g####.com/api.php?format=####&t=####
- p.s.3####.cn/update/update.php?p=####
- sdk-ope####.g####.com/api.php?format=####&t=####
- sdk-ope####.g####.com/api.php?format=####&t=####&d=####&k=####
- sdk.o####.p####.####.com/api.php?format=####&t=####&d=####&k=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/08cc1049818740b154155c834cf9d42ddd37e7ead5f96f4....0.tmp
- /data/data/####/12e40109ef1fabc18fb5255138479f0c
- /data/data/####/14061ed0841bfcf2693b10cd8761e6df
- /data/data/####/160e1999dceb9f61c44db5cb9f3b8031
- /data/data/####/1655c5f69549ec5c0380660f66c34892
- /data/data/####/17c55f3ead132b7e67ee4195403f2041
- /data/data/####/1b5face2e5fcda2326b7411367b90fc9
- /data/data/####/1bb566e2f81949b5f02e4c2bbd6bec753563b7a9977ff79....0.tmp
- /data/data/####/20052d274fc375a9f21f9a44a949d58b82f24af1056394b....0.tmp
- /data/data/####/2013159bb84de0ee8a14b373ddf6ec96
- /data/data/####/22698d0e5bdc42531c4c7d71f4057e8c2e5575ec4ab1366....0.tmp
- /data/data/####/23183494461240.0
- /data/data/####/25d577f09e06090b34bc615835d0335b
- /data/data/####/270eb2414936bbcaa8904cf88c106c63
- /data/data/####/291e67c929c22a775a3373881b1acfb3
- /data/data/####/2b6a6174a5cc5ac0c310d5ed3454e08d
- /data/data/####/2bcd5e67e3cf1aad5c27381c49a7bfd0d5dd5943ea88f13....0.tmp
- /data/data/####/2dbed61f5972125aacd218623b734fc3
- /data/data/####/2f66bc6798010bab8751ead4b1a96dcf
- /data/data/####/324e76f7aaf50f421dc2ce76af899da1
- /data/data/####/325691889ff86675582500bb91c05d4b
- /data/data/####/36bbe4e6e0be500c41e8d126bd5dd352
- /data/data/####/406364eb1e746302d7d14c4958f4da60a3e77679362b8ee....0.tmp
- /data/data/####/40f7de2191a58ac2e5c7d6b3d75fd199
- /data/data/####/43e864ca58ba37606b8962ab0e4d4904
- /data/data/####/50bf428eab6e9e2c3b17e76009bf099d
- /data/data/####/51c43594d8f83d4d650892c188c485f9
- /data/data/####/5459d6dbf9d47f26411022ff8539129534ead6cd1943ebd...9217.0
- /data/data/####/54cc06f548f9066d9bb9a25a0edd520b5ecaee6eed3b32c....0.tmp
- /data/data/####/56c706980c7eae0e77362d302313df18
- /data/data/####/57152520647052.0
- /data/data/####/5ed17f04da8d05a816d5bb78a3cc038a
- /data/data/####/673a502b17d3126137a342c03e4363a5a425b05e94e91e9....0.tmp
- /data/data/####/6a12b85adbe2fc210fc327914e556f25
- /data/data/####/6a50b0da8616c281b782f22732749073
- /data/data/####/70c756c3dece860b479714e464ee0442793be280be0912b....0.tmp
- /data/data/####/75eb380cfc3f83a4a13813502a66334f
- /data/data/####/774996faeaf6b2cff3d6c595d83ad27c
- /data/data/####/7d71388dd7b96fbd9be56c8982a618a0
- /data/data/####/80d611335f5b3550370ed8a3215cbffe
- /data/data/####/8331f8d754abc76d63302daf5ac15c84
- /data/data/####/868e0832bdecd8133971b7e0d6866f5897bd2b92cdb4505....0.tmp
- /data/data/####/86d76f1319ec
- /data/data/####/8726958cff10318b7985532eba1008ae
- /data/data/####/87956b590f04b6bc73cb6f5c1917e00f
- /data/data/####/9343c0c4f351a28e028d0200885d5b68
- /data/data/####/QH_DeviceSDK.xml
- /data/data/####/QH_SDK_M2.xml
- /data/data/####/QH_SDK_UserDataa0a080f42e6f13b3a2df133f073095dd.xml
- /data/data/####/QH_SDK_sessionIDa0a080f42e6f13b3a2df133f073095dd.xml
- /data/data/####/RefactorNewsItemDbModel.realm
- /data/data/####/RefactorNewsItemDbModel.realm.lock
- /data/data/####/WalletPlugin.apk
- /data/data/####/Y29tLmJ0aW1lLmJqdGltZQ==.tick.lock
- /data/data/####/a2ffd17df3196fc2fd455a5b827a4035
- /data/data/####/a4459efba96d42450690cc51b4a01458
- /data/data/####/a4e914a067d50cb8cebcbe2e9daab19a
- /data/data/####/a967d28820d6c2666341e8820dbed70f
- /data/data/####/a9807807bc2dd658cb2dddaf5c8f1a24
- /data/data/####/ab01c43fadc97baca137f72949e162d7
- /data/data/####/access_control.control.mx
- /data/data/####/access_control.write.mx
- /data/data/####/af6bc18063c7a6b0deed66d70325c270
- /data/data/####/b5b3b5991e7c050636670439740ba928
- /data/data/####/b89c7c7d2632c40c1f6d17f6f596813a
- /data/data/####/b8b116012f4788c669787f690e1f2d91f349cd1b46ae421....0.tmp
- /data/data/####/b99a6c97824fb72185aff7dadc496dac
- /data/data/####/b_token_pri.xml
- /data/data/####/bc10c6757a117bb70d52baebc2d6fcc9
- /data/data/####/bc9a8ad917f8b925faad7796f82d2ff24a9f2e671e747a3....0.tmp
- /data/data/####/bd23eb43d01b65376f418916a842529e
- /data/data/####/btime_multi_theme.xml
- /data/data/####/btime_netmode_debug.xml
- /data/data/####/c18708027b7a155b8ce3cd1fe1b85a1b
- /data/data/####/c4ca88f0284c7b1b773420bd43a2263f
- /data/data/####/c7a1804daaaceed45945d42fb3907433
- /data/data/####/c8150a4896f5dfcd20a514ba928377bd
- /data/data/####/c9991872db9cbf3fd7e3340757a1ad97
- /data/data/####/cad93f7fe182008ca2914ff9c5f940c3cf1a0a9a5953043....0.tmp
- /data/data/####/cb942ed475e7fb98d64d8bd390c23978
- /data/data/####/ccc847f5d06fbfa52db3d1d8721d833c
- /data/data/####/cd5c4951c2b13dce7edde19d755bd9db
- /data/data/####/cf73c7920d8ac69c5ef726bbcb259a49
- /data/data/####/com.qihoo.livecloud.settings.GPWebrtcSettings.pref.xml
- /data/data/####/d01766ef51701fc34ca41fba9a015428
- /data/data/####/d0d722f550152daff2623bf0a52a0c4767e9006ae81dcde....0.tmp
- /data/data/####/d1559ae3e7a31da2434cbbc26e980cc4
- /data/data/####/d5ed28d27c6b8fcbc71204a5a97d40fad77492cd10384c3....0.tmp
- /data/data/####/dafile.db
- /data/data/####/dafile.db-journal
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/discovery_share_image.jpg
- /data/data/####/e08fa7421425250623078a61c99872a5
- /data/data/####/e7277d1c078ab0962fb3896238aa244f
- /data/data/####/f213b1e383b05ef10a7a030d2cb9369e
- /data/data/####/f53b9cf0882802a08b699f117e99c8735e02c78f0f8a134....0.tmp
- /data/data/####/fbf553b1241e9dc1c13325a2c0240368
- /data/data/####/getui_sp.xml
- /data/data/####/gkt-journal
- /data/data/####/gx_sp.xml
- /data/data/####/hmdb
- /data/data/####/hmdb-journal
- /data/data/####/index
- /data/data/####/init.pid
- /data/data/####/init_c1.pid
- /data/data/####/journal
- /data/data/####/journal.tmp
- /data/data/####/libjiagu-1903852191.so
- /data/data/####/logdb.db
- /data/data/####/logdb.db-journal
- /data/data/####/multidex.version.xml
- /data/data/####/pref.xml
- /data/data/####/push.pid
- /data/data/####/pushg.db-journal
- /data/data/####/pushk.db-journal
- /data/data/####/pushsdk.db-journal
- /data/data/####/run.pid
- /data/data/####/tdata_Gni835
- /data/data/####/tdata_Gni835.jar
- /data/data/####/tdata_WJE468
- /data/data/####/tdata_WJE468.jar
- /data/data/####/tdata_YYn966.tmp (deleted)
- /data/data/####/tdata_tYM194
- /data/data/####/tdata_tYM194.jar
- /data/data/####/tempfile
- /data/data/####/tray.db-journal
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/.DEVICES
- /data/media/####/.deviceId
- /data/media/####/.iddata
- /data/media/####/Y29tLmJ0aW1lLmJqdGltZQ==
- /data/media/####/Y29tLmJ0aW1lLmJqdGltZQ== (deleted)
- /data/media/####/a0a080f42e6f13b3a2df133f073095dd
- /data/media/####/alsn.db
- /data/media/####/alsn.db-journal
- /data/media/####/app.db
- /data/media/####/applog.txt
- /data/media/####/com.btime.bjtime.bin
- /data/media/####/com.btime.bjtime.db
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/data.lock
- /data/media/####/gVv
- /data/media/####/gVv (deleted)
- /data/media/####/gkt-journal
- /data/media/####/gktper
- /data/media/####/logs.txt
- /data/media/####/report.lock
- /data/media/####/tdata_Gni835
- /data/media/####/tdata_WJE468
- /data/media/####/tdata_tYM194
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /proc/cpuinfo
- cat /sys/class/net/wlan0/address
- mount
- sh
Загружает динамические библиотеки:
- getuiext2
- libjiagu-1903852191
- openh264
- publisher
- realm-jni
- transcore
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-CFB-NoPadding
- AES-ECB-PKCS5Padding
- RSA-ECB-PKCS1Padding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
- desede-ECB-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS5Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Управляет Wi-Fi-подключением.
