Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(HTTP/1.1) q####.c####.l####.####.com:80
- TCP(HTTP/1.1) cdn-sdk####.g####.com.####.com:80
- TCP(HTTP/1.1) p####.api.xinhu####.com:81
- TCP(HTTP/1.1) l####.tbs.qq.com:80
- TCP(HTTP/1.1) st####.xinhu####.com:80
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(HTTP/1.1) sdk.o####.p####.####.com:80
- TCP(HTTP/1.1) c-h####.g####.com:80
- TCP(HTTP/1.1) sdk-ope####.g####.com:80
- TCP(HTTP/1.1) apip####.xinhu####.com:80
- TCP(HTTP/1.1) xinhuaa####.oss-cn-####.aliy####.com:80
- TCP(TLS/1.0) 1####.217.168.234:443
- TCP(TLS/1.0) 1####.217.17.46:443
- TCP(TLS/1.0) et2-na6####.wagbr####.ali####.####.com:443
- TCP(TLS/1.0) and####.google####.com:443
- TCP(TLS/1.0) 1####.217.168.202:443
- TCP(TLS/1.0) dualsta####.wagbr####.ali####.####.com:443
- TCP(TLS/1.0) apip####.xinhu####.com:443
- TCP(TLS/1.0) xinhuaa####.oss-cn-####.aliy####.com:443
- TCP(TLS/1.0) instant####.google####.com:443
- TCP(TLS/1.0) st####.xinhu####.360.net:443
- TCP(TLS/1.0) loc.map.b####.com:443
- TCP(TLS/1.2) 1####.217.168.202:443
- TCP cm-1####.ig####.com:5225
- TCP cm-1####.ig####.com:5224
- TCP sdk.o####.t####.####.com:5224
Запросы DNS:
- 7j####.c####.z0.####.com
- and####.b####.qq.com
- and####.google####.com
- apip####.xinhu####.com
- c-h####.g####.com
- cdn-sdk####.g####.com
- cm-1####.ig####.com
- cm-1####.ig####.com
- cm-1####.ig####.com
- instant####.google####.com
- l####.tbs.qq.com
- loc.map.b####.com
- log.u####.com
- p####.api.xinhu####.com
- plb####.u####.com
- pub-####.qin####.com
- sdk-ope####.g####.com
- sdk.c####.ig####.com
- sdk.o####.p####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
- st####.xinhu####.360.net
- st####.xinhu####.com
- u####.u####.com
- xinhuaa####.oss-cn-####.aliy####.com
Запросы HTTP GET:
- apip####.xinhu####.com/App/Content/Detail.html?contentId=####&AppId=####...
- apip####.xinhu####.com/Service/ContentSvr.svc/GetContentCommentByWebApi?...
- apip####.xinhu####.com/Service/ContentSvr.svc/GetContentDetailByWebApi?a...
- apip####.xinhu####.com/Service/MainSvr.svc/GetDetailShareByCmsApi?appId=...
- apip####.xinhu####.com/favicon.ico
- apip####.xinhu####.com/static/css/detail.css?v=####
- apip####.xinhu####.com/static/css/mobase.css
- apip####.xinhu####.com/static/img/player-icon.png
- apip####.xinhu####.com/static/img/voice-play.png
- apip####.xinhu####.com/static/js/audio.js?_t=####
- apip####.xinhu####.com/static/js/comm.js
- apip####.xinhu####.com/static/js/detail.js?v=####
- apip####.xinhu####.com/static/js/zepto-1.1.6.min.js
- cdn-sdk####.g####.com.####.com/tdata_agG322
- cdn-sdk####.g####.com.####.com/tdata_dYz578
- cdn-sdk####.g####.com.####.com/tdata_xEA084
- q####.c####.l####.####.com/config/hz-hzv6.conf
- q####.c####.l####.####.com/tdata_EDT369
- q####.c####.l####.####.com/tdata_LRe817
- sdk.o####.p####.####.com/api/addr.htm
- st####.xinhu####.com/js/juicer-min.js
- xinhuaa####.oss-cn-####.aliy####.com/rss/2019/11/15/20191115060025_9047....
Запросы HTTP POST:
- and####.b####.qq.com/rqd/async?aid=####
- c-h####.g####.com/api.php?format=####&t=####
- l####.tbs.qq.com/ajax?c=####&k=####
- l####.tbs.qq.com/ajax?c=####&v=####&k=####
- p####.api.xinhu####.com:81/Service/MainBizSvr.svc/Encryptinit
- sdk-ope####.g####.com/api.php?format=####&t=####
- sdk.o####.p####.####.com/api.php?format=####&t=####
- sdk.o####.p####.####.com/api.php?format=####&t=####&d=####&k=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/.jgck
- /data/data/####/00b50854efd6
- /data/data/####/03f0d7734b9c6122_0
- /data/data/####/0a4a8fdbc727b7f1_0
- /data/data/####/0ea1d5c1f7e3d0ec_0
- /data/data/####/0f7c2776dccec001_0
- /data/data/####/1004
- /data/data/####/1092b0e7a314d8a8d71fbf48ad547826f4358eb74a57598....0.tmp
- /data/data/####/12a10c07e735b9d1_0
- /data/data/####/15b0010738b0bd4b_0
- /data/data/####/1796f15892b48757_0
- /data/data/####/1796f15892b48757_1
- /data/data/####/18e2c9db29a2d6bd_0
- /data/data/####/1d7d4d0f87950162_0
- /data/data/####/1f3b9bdae909b87e_0
- /data/data/####/236930d1fd2c184f_0
- /data/data/####/2b5db500bb86d279_0
- /data/data/####/2bc6a734897a4ba5_0
- /data/data/####/2c63348c897f8c2b15767ea33932dc64b1becbecd427322....0.tmp
- /data/data/####/32d5f31490b0c24b_0
- /data/data/####/32d5f31490b0c24b_1
- /data/data/####/340f4d7e9ad621d7_0
- /data/data/####/39ee7ac3db5ddf4b_0
- /data/data/####/4000ad32b566aa43_0
- /data/data/####/41da698c8827bda6_0
- /data/data/####/41da698c8827bda6_1
- /data/data/####/4719cce46b120b6a_0
- /data/data/####/48550fe6ea0e1dee8a9659e9ec204444eef04bf799e3a9f....0.tmp
- /data/data/####/4e6969e56cd337b1_0
- /data/data/####/4e7d0a2ff9951cfa_0
- /data/data/####/541dc38f883cfb15_0
- /data/data/####/573415807d1cc6bf80281d6c12a9906a223bc1b5865bada....0.tmp
- /data/data/####/5bcea177331888da_0
- /data/data/####/5ffafacc22ddf5c4_0
- /data/data/####/61c85f0e2ed90e6c_0
- /data/data/####/68874b652455e802_0
- /data/data/####/6ef2d44116698b4e_0
- /data/data/####/733331100153a8ed_0
- /data/data/####/735171c5fd451108_0
- /data/data/####/76803e5c5f7c7ac519f20b6c8368b7d7f95c6c437db1701....0.tmp
- /data/data/####/77131bc40f4ebe65_0
- /data/data/####/7ad68925095d4617_0
- /data/data/####/7bcd566771ed8f35964f3b3688fc5ed301469c5f150e0bc....0.tmp
- /data/data/####/7c83de51951e08a53affdd3bb793667c9abc3ed35d73901....0.tmp
- /data/data/####/81754bc415a6e553_0
- /data/data/####/81d2fe10eea47104_0
- /data/data/####/881cceb57e2e6b61_0
- /data/data/####/8eb1b464c3beef4b_0
- /data/data/####/8eb1b464c3beef4b_1
- /data/data/####/8fc3f13cef5f0696524febb670998f92afb2448cd735af8....0.tmp
- /data/data/####/9ec587ebd4ada569ef6554ca738797fe9316949e7a9f342....0.tmp
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/Cookies-journal
- /data/data/####/IMEI.xml
- /data/data/####/SP_AROUTER_CACHE.xml
- /data/data/####/SP_AROUTER_CACHE.xml.bak
- /data/data/####/UM_PROBE_DATA.xml
- /data/data/####/WebViewChromiumPrefs.xml
- /data/data/####/a1bbc9c44b3df46b95ca6df08bc2450409bac6ee0809a32....0.tmp
- /data/data/####/aa96acdc1e431729_0
- /data/data/####/aa96acdc1e431729_1
- /data/data/####/b04c0d088d5ce784_0
- /data/data/####/b80d42d4b5412b7c1ca57d3bd34d7638ba13f73c30b560f....0.tmp
- /data/data/####/bff0bcf520024e14_0
- /data/data/####/bugly_db_-journal
- /data/data/####/c3478feff04ebae1_0
- /data/data/####/c82dc653ff589b90dff87c9b310399cdb1306117840168b....0.tmp
- /data/data/####/c8b88c9a75fb4b4f_0
- /data/data/####/ceafe069e3b8aa67_0
- /data/data/####/classes.dex
- /data/data/####/classes.dex;classes2.dex
- /data/data/####/classes.dex;classes3.dex
- /data/data/####/classes.oat
- /data/data/####/config_new.xml
- /data/data/####/core_info
- /data/data/####/crashrecord.xml
- /data/data/####/d0d1817bae47df467aa63751183db06f15f21da857dad79....0.tmp
- /data/data/####/d3749d3261957bcb_0
- /data/data/####/d3cd5e6ce5e0a8dc_0
- /data/data/####/d401d929f0ad33757377cd2c6c053e7ed555fe47216e6e1....0.tmp
- /data/data/####/d4c7e1c535157681_0
- /data/data/####/dW1weF9pbnRlcm5hbF8xNTc0MDA5MjU3NDYy;
- /data/data/####/dW1weF9pbnRlcm5hbF8xNTc0MDA5MjUzNzY1;
- /data/data/####/dW1weF9zaGFyZV8xNTc0MDA5MjU3NTM5;
- /data/data/####/dW1weF9zaGFyZV8xNTc0MDA5MjU3NTY5;
- /data/data/####/de534f5f87af2fb4c7d6c85f319a717501ddd0fd9c43ce8....0.tmp
- /data/data/####/debug.conf
- /data/data/####/download_upload
- /data/data/####/e5f8e30969dc383e_0
- /data/data/####/e5f8e30969dc383e_1
- /data/data/####/eb6ccbcc94ec9b2f_0
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/f873f07f62d2b139_0
- /data/data/####/fab5ab550d301960_0
- /data/data/####/fb1ae193add557d355749148b22bc6e6da8ae1dfa9f818a....0.tmp
- /data/data/####/fbdfdf6900f51b96_0
- /data/data/####/fbdfdf6900f51b96_1
- /data/data/####/fe1dd257ac4c9053_0
- /data/data/####/firll.dat
- /data/data/####/getui_sp.xml
- /data/data/####/gkt-journal
- /data/data/####/gx_sp.xml
- /data/data/####/hst.db
- /data/data/####/hst.db-journal
- /data/data/####/http_apiparty.xinhuaapp.com_0.localstorage-journal
- /data/data/####/i==1.2.0&&1.0.0_1574009257475_envelope.log
- /data/data/####/index
- /data/data/####/info.xml
- /data/data/####/init.pid
- /data/data/####/init_c1.pid
- /data/data/####/jjrb_db-journal
- /data/data/####/journal.tmp
- /data/data/####/libcuid.so
- /data/data/####/libjiagu.so
- /data/data/####/local_crash_lock
- /data/data/####/local_crash_lock (deleted)
- /data/data/####/metrics_guid
- /data/data/####/native_record_lock
- /data/data/####/native_record_lock (deleted)
- /data/data/####/net.xinhuamm.d3035_preferences.xml
- /data/data/####/proc_auxv
- /data/data/####/push.pid
- /data/data/####/pushext.db-journal
- /data/data/####/pushg.db-journal
- /data/data/####/pushsdk.db-journal
- /data/data/####/pushservice_umeng_common_config.xml
- /data/data/####/remote_umeng_common_config.xml
- /data/data/####/run.pid
- /data/data/####/security_info
- /data/data/####/share.db-journal
- /data/data/####/t==8.0.0&&1.0.0_1574009253756_envelope.log
- /data/data/####/tbs_download_config.xml
- /data/data/####/tbs_download_config.xml.bak
- /data/data/####/tbs_download_stat.xml
- /data/data/####/tbs_pv_config
- /data/data/####/tbscoreinstall.txt
- /data/data/####/tbslock.txt
- /data/data/####/tdata_agG322
- /data/data/####/tdata_agG322.dex
- /data/data/####/tdata_agG322.dex.flock (deleted)
- /data/data/####/tdata_agG322.jar
- /data/data/####/tdata_dYz578
- /data/data/####/tdata_dYz578.dex
- /data/data/####/tdata_dYz578.dex.flock (deleted)
- /data/data/####/tdata_dYz578.jar
- /data/data/####/tdata_xEA084
- /data/data/####/tdata_xEA084.dex
- /data/data/####/tdata_xEA084.dex.flock (deleted)
- /data/data/####/tdata_xEA084.jar
- /data/data/####/temp-index
- /data/data/####/the-real-index
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/um_pri.xml
- /data/data/####/umdat.xml
- /data/data/####/umeng_common_config.xml
- /data/data/####/umeng_common_location.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_general_config.xml.bak
- /data/data/####/umeng_it.cache
- /data/data/####/umeng_socialize.xml
- /data/misc/####/primary.prof
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /proc/cpuinfo
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
- /system/bin/dex2oat --instruction-set=x86 --dex-file=<Package Folder>/.jiagu/classes.dex --dex-file=<Package Folder>/.jiagu/classes.dex:classes2.dex --dex-file=<Package Folder>/.jiagu/classes.dex:classes3.dex --oat-file=<Package Folder>/.jiagu/classes.oat --inline-depth-limit=0 --compiler-filter=speed
- /system/bin/dex2oat --runtime-arg -classpath --runtime-arg & --instruction-set=x86 --instruction-set-features=smp,ssse3,sse4.1,sse4.2,-avx,-avx2,-lock_add,popcnt --runtime-arg -Xrelocate --boot-image=/system/framework/boot.art --runtime-arg -Xms64m --runtime-arg -Xmx512m --instruction-set-variant=x86 --instruction-set-features=default --dex-file=/data/user/0/<Package>/files/tdata_agG322.jar --oat-fd=63 --oat-location=/data/user/0/<Package>/files/tdata_agG322.dex --compiler-filter=speed
- /system/bin/dex2oat --runtime-arg -classpath --runtime-arg & --instruction-set=x86 --instruction-set-features=smp,ssse3,sse4.1,sse4.2,-avx,-avx2,-lock_add,popcnt --runtime-arg -Xrelocate --boot-image=/system/framework/boot.art --runtime-arg -Xms64m --runtime-arg -Xmx512m --instruction-set-variant=x86 --instruction-set-features=default --dex-file=/data/user/0/<Package>/files/tdata_dYz578.jar --oat-fd=59 --oat-location=/data/user/0/<Package>/files/tdata_dYz578.dex --compiler-filter=speed
- /system/bin/dex2oat --runtime-arg -classpath --runtime-arg & --instruction-set=x86 --instruction-set-features=smp,ssse3,sse4.1,sse4.2,-avx,-avx2,-lock_add,popcnt --runtime-arg -Xrelocate --boot-image=/system/framework/boot.art --runtime-arg -Xms64m --runtime-arg -Xmx512m --instruction-set-variant=x86 --instruction-set-features=default --dex-file=/data/user/0/<Package>/files/tdata_xEA084.jar --oat-fd=67 --oat-location=/data/user/0/<Package>/files/tdata_xEA084.dex --compiler-filter=speed
- cat /proc/uid_stat/10065/tcp_rcv
- cat /proc/uid_stat/10065/tcp_snd
- cat /sys/class/net/wlan0/address
- getprop
- getprop ro.product.cpu.abi
- ls /
- ls /sys/class/thermal
- mount
- sh
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-CFB-NoPadding
- AES-ECB-PKCS5Padding
- AES-GCM-NoPadding
- DESede-ECB-PKCS5Padding
- DESede-ECB-PKCS7Padding
- RSA-ECB-NoPadding
- RSA-ECB-PKCS1Padding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS5Padding
- AES-GCM-NoPadding
- DESede-ECB-PKCS7Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
