Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(HTTP/1.1) www.pc####.com.####.cn:80
- TCP(HTTP/1.1) img.pc####.com.cn:80
- TCP(HTTP/1.1) sdk.o####.amp.####.com:80
- TCP(HTTP/1.1) rp-na####.ron####.com:80
- TCP(HTTP/1.1) i6.3con####.com:80
- TCP(HTTP/1.1) ipv6-as####.m.ta####.com:80
- TCP(HTTP/1.1) js.3con####.com:80
- TCP(TLS/1.0) m.im####.com:443
- TCP(TLS/1.0) img-####.pcon####.com.cn:443
- TCP(TLS/1.0) instant####.google####.com:443
- TCP(TLS/1.0) and####.google####.com:443
- TCP(TLS/1.0) loc.map.b####.com:443
- TCP(TLS/1.0) js.3con####.com:443
- TCP(TLS/1.0) www.pcon####.com.cn:443
- TCP(TLS/1.0) 1####.217.17.142:443
- TCP(TLS/1.0) img.pcon####.com.####.cn:443
- TCP(TLS/1.0) api.w####.com:443
- TCP(TLS/1.0) ada####.m.ta####.com:443
- TCP(TLS/1.0) o####.map.b####.com:443
- TCP(TLS/1.0) i####.pcon####.com.cn:443
- TCP(TLS/1.0) s####.cn.ron####.com:443
- TCP(TLS/1.0) www.pc####.com.####.cn:443
- TCP(TLS/1.0) ivy.pcon####.com.cn:443
- TCP(TLS/1.0) c####.pc####.com.cn:443
- TCP(TLS/1.0) mr####.pc####.com.cn:443
- TCP(TLS/1.0) secgw-i####.m.ta####.com:443
- TCP(TLS/1.0) c.im####.com:443
- TCP(TLS/1.0) re####.pc####.com.cn:443
- TCP(TLS/1.0) sh.wagbr####.ta####.com:443
- TCP(TLS/1.0) api.map.b####.com:443
- TCP(TLS/1.0) cmt.pc####.com.cn:443
- TCP(TLS/1.0) ad-anal####.pcon####.com.cn:443
- TCP(TLS/1.0) v.im####.com:443
- TCP(TLS/1.0) c####.im####.com:443
- TCP(TLS/1.0) 1####.217.20.74:443
- TCP(TLS/1.0) 1####.217.17.138:443
- TCP(TLS/1.0) img.pc####.com.cn:443
- TCP(TLS/1.2) 1####.217.17.138:443
- TCP 1####.92.33.28:8616
Запросы DNS:
- ad-anal####.pcon####.com.cn
- ada####.ut.ta####.com
- adas####.ut.ta####.com
- and####.google####.com
- api.map.b####.com
- api.w####.com
- c####.im####.com
- c####.pc####.com.cn
- c.im####.com
- cmt.pc####.com.cn
- i####.3con####.com
- i####.pc####.com.cn
- i####.pc####.com.cn
- i####.pc####.com.cn
- i####.pcon####.com.cn
- i6.3con####.com
- iad####.pc####.com.cn
- img-####.pcon####.com.cn
- img.pc####.com.cn
- instant####.google####.com
- ivy.pc####.com.cn
- ivy.pcon####.com.cn
- js.3con####.com
- k.y####.com
- l.y####.com
- l.y####.com.####.8
- loc.map.b####.com
- m.im####.com
- mr####.pc####.com.cn
- nav.cn.ron####.com
- o####.map.b####.com
- pl####.y####.com
- pla####.y####.com
- re####.pc####.com.cn
- s####.cn.ron####.com
- sdk.o####.amp.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
- v####.atm.y####.com
- v.im####.com
- w####.pc####.com.cn
- w####.pc####.com.cn
- www.pcon####.com.cn
Запросы HTTP GET:
- i6.3con####.com/images/upload/upc/face/46/57/45/95/46574595_50x50
- img.pc####.com.cn/images/upload/upc/tx/auto5/1708/24/c39/56537848_150355...
- img.pc####.com.cn/images/upload/upc/tx/auto5/1711/06/c7/65811931_1509940...
- img.pc####.com.cn/images/upload/upc/tx/auto5/1804/04/c1/80835784_1522805...
- img.pc####.com.cn/images/upload/upc/tx/auto5/1810/15/c3/114299792_153957...
- img.pc####.com.cn/images/upload/upc/tx/auto5/1907/11/c10/158517663_15628...
- ipv6-as####.m.ta####.com/sdkconfig.xml
- js.3con####.com/pcauto/1910/22/g_18556805_1571711093467_800x600.jpg
- sdk.o####.amp.####.com/api.htm?format=####&t=####
- www.pc####.com.####.cn/2010/price/img/slt/400x300.jpg
- www.pc####.com.####.cn/app/chezhanqian640x918.jpg
Запросы HTTP POST:
- rp-na####.ron####.com/navipush.json
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/05458722b5b88fdc_0
- /data/data/####/05458722b5b88fdc_1
- /data/data/####/066258a22b958c2fb64ca37ee15ed119696fc091d1ad38a....0.tmp
- /data/data/####/0945977c59befb37_0
- /data/data/####/0cb3133cb6ed823a953129f967178a8e2532012e045a50f....0.tmp
- /data/data/####/0dd1e4318431791d_0
- /data/data/####/0dd1e4318431791d_1
- /data/data/####/14cac7c9344d06f650534e2a79be07c41ffddf53af2177e....0.tmp
- /data/data/####/1ab3d94c9877f41b_0
- /data/data/####/1df647b57feaeb38_0
- /data/data/####/1f60d24b5da2965867dfa86fe835e8145a629fdb6a30b0c....0.tmp
- /data/data/####/208457f351057574f86e43fc1347d21bcbe49eb4953ccf1....0.tmp
- /data/data/####/21feea0b430db71fc7213626d654b151c980ce37f5f0cd0....0.tmp
- /data/data/####/22a5a362b77011c6_0
- /data/data/####/24b4ad454723fd66_0
- /data/data/####/29ca7c8c959090c5_0 (deleted)
- /data/data/####/2ba962fb5108e6a4_0
- /data/data/####/2e5a4499a5dc68c4_0
- /data/data/####/2e5a4499a5dc68c4_1
- /data/data/####/38a9113895823840_0 (deleted)
- /data/data/####/3a80ddf99133b70e0d791d1c139c6d596d823b6d26e26bf....0.tmp
- /data/data/####/442399ad9240c470_0
- /data/data/####/4775d7d62d2998dca0f796d9baf150845bc25e5d1c9fa83....0.tmp
- /data/data/####/4d3f684f6579425c_0
- /data/data/####/4fce0d8f91cf11efc95a4fd933c7e4875546c6c3ee1c126....0.tmp
- /data/data/####/52659f4fbfbfc26e_0
- /data/data/####/5527dc1bc4542a70_0
- /data/data/####/5e91f965e8c35890_0
- /data/data/####/604ac78d-303a-38bf-bcd2-6617d94bb30a
- /data/data/####/60a8500083749c3204347439045e444d5f5eb82c7649bd3....0.tmp
- /data/data/####/65ce513ad9a3f6a1_0
- /data/data/####/68fa0aff9133f8cb_0
- /data/data/####/68fa0aff9133f8cb_1
- /data/data/####/6bd4f5af2befb560_0
- /data/data/####/6bd4f5af2befb560_1
- /data/data/####/77ad0463a6b9987f_0
- /data/data/####/77ad0463a6b9987f_1
- /data/data/####/7a78c170-c102-3512-83bd-1d8709af5849
- /data/data/####/7a78c170-c102-3512-83bd-1d8709af5849 (deleted)
- /data/data/####/7c897bc79ff533ce_0
- /data/data/####/846dcf79a9d0b7c6_0
- /data/data/####/8697a9a66bfdf9dd_0
- /data/data/####/86c1dd2318420c4e_0
- /data/data/####/8d23a5b7938347de_0
- /data/data/####/97ac27e2616a98c2f68802b1a7f0d27405e1f42e92fa4a5....0.tmp
- /data/data/####/9ac8e3328a513ea321b853031aa02d4020ea18b0b111093....0.tmp
- /data/data/####/9d42f13b8e5ebee518048a2686347ff15120ba1e0b3a922....0.tmp
- /data/data/####/Alvin2.xml
- /data/data/####/COUNTLY_STORE.xml
- /data/data/####/ContextData.xml
- /data/data/####/Cookies-journal
- /data/data/####/FwLog.xml
- /data/data/####/FwLog.xml.bak
- /data/data/####/HttpLogDB.db-journal
- /data/data/####/PUSH_STATUS.xml
- /data/data/####/PcgroupBrowser.db-journal
- /data/data/####/PlayerUIApk.apk
- /data/data/####/PlayerUIApk.dex
- /data/data/####/PlayerUIApk.dex.flock (deleted)
- /data/data/####/PullToRefresh.xml
- /data/data/####/RANDOM.xml
- /data/data/####/RecommandData.xml
- /data/data/####/RongPush.xml
- /data/data/####/RongPushAppConfig.xml
- /data/data/####/Statistics.xml
- /data/data/####/Statistics.xml.bak
- /data/data/####/UTCommon.xml
- /data/data/####/WebViewChromiumPrefs.xml
- /data/data/####/ad.xml
- /data/data/####/adNew.config
- /data/data/####/aeee885630a6228134b5180000fb13f5f82836e24ef369e....0.tmp
- /data/data/####/ap.Lock
- /data/data/####/app_first_in400.xml
- /data/data/####/area_tree.config
- /data/data/####/authStatus_cn.com.pcauto.android.browser.xml
- /data/data/####/authStatus_cn.com.pcauto.android.browser;ipc.xml
- /data/data/####/authStatus_cn.com.pcauto.android.browser;pushservice.xml
- /data/data/####/authStatus_cn.com.pcauto.android.browser;remote.xml
- /data/data/####/authStatus_io.rong.push.xml
- /data/data/####/b40615a63f17317f_0
- /data/data/####/b7d2b5887667c4fc_0
- /data/data/####/b96fb54013fa7d28_0
- /data/data/####/b99966e4d3f7f40479c92d58e342911bd63fb5e05d01c98....0.tmp
- /data/data/####/bbs.config
- /data/data/####/bf404acbadaf97d2_0
- /data/data/####/brand.config
- /data/data/####/c468224e6787decd120a82c6f56d8134797da8a3eb23cbc....0.tmp
- /data/data/####/c6016b7d23935c61f921b28535450b00e12166a9ad3e328....0.tmp
- /data/data/####/car_pic_compare.config
- /data/data/####/cdn.db-journal
- /data/data/####/channel.config
- /data/data/####/classes.dex
- /data/data/####/classes.dex;classes2.dex
- /data/data/####/classes.dex;classes3.dex
- /data/data/####/cn.com.mma.mobile.tracking.other.xml
- /data/data/####/cn.com.mma.mobile.tracking.sdkconfig.xml
- /data/data/####/cn.com.pcauto.android.browser_preferences.xml
- /data/data/####/d003910ceaaf624971c84ee3ba6f98667522fe39f3cb44e....0.tmp
- /data/data/####/d40ae857fa0725d9a09f2fff2e166fbd7b20f6d0f8bb1e6....0.tmp
- /data/data/####/d48fdaf2f340c46b_0
- /data/data/####/ddb6fd54eac4e5c7_0
- /data/data/####/e64f045d24ad4053_0
- /data/data/####/e64f045d24ad4053_1
- /data/data/####/e856055ec59f5187_0
- /data/data/####/eab0bf9cf9794136_0
- /data/data/####/eb80e16cb50510da_0
- /data/data/####/efe6224227ac1a9406380459dfec84fecdb848db9067204....0.tmp
- /data/data/####/elect_car_brand.config
- /data/data/####/f2022b1a387167cb01f204421d69b61a46cfebbccf5433c....0.tmp
- /data/data/####/f306848d1cf09f71_0
- /data/data/####/f4a7c1ab7a1c1ed93a366fa15dc53d39150aa5b19da2172....0.tmp
- /data/data/####/f54ac362-c018-346a-a51c-a554c8c97ff7
- /data/data/####/f54ac362-c018-346a-a51c-a554c8c97ff7 (deleted)
- /data/data/####/find.config
- /data/data/####/firll.dat
- /data/data/####/first_setup_501.xml
- /data/data/####/framwork.xml
- /data/data/####/freedom.db
- /data/data/####/freedom.db-journal
- /data/data/####/gal.db
- /data/data/####/gal.db-journal
- /data/data/####/getui_sp.xml
- /data/data/####/hot_brand.config
- /data/data/####/hst.db
- /data/data/####/hst.db-journal
- /data/data/####/httpdns.xml
- /data/data/####/httpdns.xml.bak
- /data/data/####/index
- /data/data/####/init.pid
- /data/data/####/init_c1.pid
- /data/data/####/interval.xml
- /data/data/####/journal.tmp
- /data/data/####/js.xml
- /data/data/####/libcuid.so
- /data/data/####/libjiagu.so
- /data/data/####/loginstate_4110.xml
- /data/data/####/mac.xml
- /data/data/####/match_time.xml
- /data/data/####/metrics_guid
- /data/data/####/mofan.config.xml
- /data/data/####/mofan.config.xml (deleted)
- /data/data/####/mofan.config.xml.bak
- /data/data/####/mofan.config.xml.bak (deleted)
- /data/data/####/mofang_data_analysis.db-journal
- /data/data/####/mofang_data_analysis.xml
- /data/data/####/mofang_data_analysis.xml.bak
- /data/data/####/movie_header.config
- /data/data/####/ofl.config
- /data/data/####/ofl_location.db
- /data/data/####/ofl_location.db-journal
- /data/data/####/ofl_statistics.db
- /data/data/####/ofl_statistics.db-journal
- /data/data/####/photos_recommened.config
- /data/data/####/price_header.config
- /data/data/####/proc_auxv
- /data/data/####/push.pid
- /data/data/####/pushsdk.db-journal
- /data/data/####/qdtdh.config
- /data/data/####/resouce.js
- /data/data/####/run.pid
- /data/data/####/selected_file.xml
- /data/data/####/setting_menu_state.xml
- /data/data/####/style.css
- /data/data/####/the-real-index
- /data/data/####/update.zip
- /data/data/####/using_header.config
- /data/data/####/ut.db
- /data/data/####/ut.db-journal
- /data/data/####/v_name.xml
- /data/data/####/weibo_sdk_aid1
- /data/data/####/youkusdk_preferences.xml
- /data/misc/####/primary.prof
Другие:
Запускает следующие shell-скрипты:
- /system/bin/dex2oat --instruction-set=arm --dex-file=<Package Folder>/.jiagu/classes.dex --dex-file=<Package Folder>/.jiagu/classes.dex:classes2.dex --dex-file=<Package Folder>/.jiagu/classes.dex:classes3.dex --oat-file=<Package Folder>/.jiagu/classes.oat --inline-depth-limit=0 --compiler-filter=speed
- /system/bin/dex2oat --runtime-arg -classpath --runtime-arg & --instruction-set=x86 --instruction-set-features=smp,ssse3,sse4.1,sse4.2,-avx,-avx2,-lock_add,popcnt --runtime-arg -Xrelocate --boot-image=/system/framework/boot.art --runtime-arg -Xms64m --runtime-arg -Xmx512m --instruction-set-variant=x86 --instruction-set-features=default --dex-file=/data/user/0/<Package>/app_plugin/PlayerUIApk.apk --oat-fd=89 --oat-location=/data/user/0/<Package>/app_dex/PlayerUIApk.dex --compiler-filter=speed
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- RSA-ECB-PKCS1Padding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- DES-CBC-PKCS5Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию о настроках APN.
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
