Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(SSL/3.0) pdl####.oss-cn-####.aliy####.com:443
- TCP(TLS/1.0) api.growi####.com:443
- TCP(TLS/1.0) pdl####.oss-cn-####.aliy####.com:443
- TCP(TLS/1.0) s7.zhenron####.com.####.com:443
- TCP(TLS/1.0) acc####.kejidai####.com:443
- TCP(TLS/1.0) s4.zhenron####.com.####.com:443
- TCP(TLS/1.0) das.bai####.cn:443
- TCP(TLS/1.0) log.songjin####.com:443
- TCP(TLS/1.0) hm.b####.com:443
- TCP(TLS/1.0) pageco####.zhenron####.com:443
- TCP(TLS/1.0) fe####.zhenron####.com:443
- TCP(TLS/1.0) bt.kejidai####.com:443
- TCP(TLS/1.0) as####.growi####.com.####.net:443
- TCP(TLS/1.0) t####.growi####.com:443
- TCP(TLS/1.0) t.growi####.com:443
Запросы DNS:
- a####.u####.com
- acc####.kejidai####.com
- and####.b####.qq.com
- api.growi####.com
- as####.growi####.com
- bt.kejidai####.com
- das.bai####.cn
- fe####.zhenron####.com
- hm.b####.com
- log.songjin####.com
- pageco####.zhenron####.com
- pdl####.oss-cn-####.aliy####.com
- s4.zhenron####.com
- s7.zhenron####.com
- t####.growi####.com
- t.growi####.com
Запросы HTTP POST:
- a####.u####.com/app_logs
- and####.b####.qq.com/rqd/async?aid=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/.xml
- /data/data/####/1002
- /data/data/####/1004
- /data/data/####/100credit_contents_zw.xml
- /data/data/####/1579558626695
- /data/data/####/1579558627263
- /data/data/####/1579558627776
- /data/data/####/1579558628423
- /data/data/####/1579558628745
- /data/data/####/20bb29b0ccef89c9969e8066b7321759.0.tmp
- /data/data/####/20bb29b0ccef89c9969e8066b7321759.1.tmp
- /data/data/####/28957c5f464dccb66319d9b34c895d78.0.tmp
- /data/data/####/28957c5f464dccb66319d9b34c895d78.1.tmp
- /data/data/####/2D72A071.dex
- /data/data/####/56e3e6c68782151671dad4a7e5f2cb5fe510963f1840ef6....0.tmp
- /data/data/####/585685b1ae938f0e7a72a7f86937ea85c513bac5e9d3bdd....0.tmp
- /data/data/####/82d8d8a920fad88119fcd04c521f79a560c4aa6731e33bd....0.tmp
- /data/data/####/93a2bec7291b6a6bdb06dac217d8c2c1.0.tmp
- /data/data/####/93a2bec7291b6a6bdb06dac217d8c2c1.1.tmp
- /data/data/####/MultiDex.lock
- /data/data/####/SP_AROUTER_CACHE.xml
- /data/data/####/autotrack.db
- /data/data/####/autotrack.db-journal
- /data/data/####/b85aa81d4a26a8516c6ff3a1c90e1b98.0.tmp
- /data/data/####/b85aa81d4a26a8516c6ff3a1c90e1b98.1.tmp
- /data/data/####/b8973ffcb8e1f4ffc13f6002f65f215c.0.tmp
- /data/data/####/b8973ffcb8e1f4ffc13f6002f65f215c.1.tmp
- /data/data/####/be8a1deb3d14d6e8f6a60b79e4232827.0.tmp
- /data/data/####/be8a1deb3d14d6e8f6a60b79e4232827.1.tmp
- /data/data/####/bugly_db_-journal
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/com.kwkx.songjindai.BETA_VALUES.xml
- /data/data/####/com.kwkx.songjindai_preferences.xml
- /data/data/####/com.module.toolbox.sp_private.xml
- /data/data/####/crashrecord.xml
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/default.xml
- /data/data/####/device_id.xml.xml
- /data/data/####/eac03d0ae64d7cae0179c525dea25cf4.0.tmp
- /data/data/####/eac03d0ae64d7cae0179c525dea25cf4.1.tmp
- /data/data/####/ee9d95437a5f113e32b21948fbe1cf5ca78a92d028e92b9....0.tmp
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/f4687b1b15d5abe81be43c2629d5844a.0.tmp
- /data/data/####/f4687b1b15d5abe81be43c2629d5844a.1.tmp
- /data/data/####/f5b2ebd511df063d1d053084e60cf57b07fc1f50c6f764e....0.tmp
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/f_000004
- /data/data/####/getui_sp.xml
- /data/data/####/growing.db-journal
- /data/data/####/growing_ecsid.xml
- /data/data/####/growing_persist_data.xml
- /data/data/####/growing_profile.xml
- /data/data/####/growing_server_pref.xml
- /data/data/####/ikwkx.db-journal
- /data/data/####/index
- /data/data/####/journal.tmp
- /data/data/####/libjiagu1036419398.so
- /data/data/####/local_crash_lock
- /data/data/####/multidex.version.xml
- /data/data/####/native_record_lock
- /data/data/####/net_time_recode.db-journal
- /data/data/####/persist_data.xml
- /data/data/####/security_info
- /data/data/####/sp_cache.xml
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/update.xml
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/.dev_id.txt
- /data/media/####/.gid_bairong
- /data/media/####/.nomedia
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop
- /system/bin/sh -c type su
- cat /sys/class/net/wlan0/address
- getprop
Загружает динамические библиотеки:
- 2D72A071
- Bugly
- anti
- basesec_client
- basesec_client_jni
- libjiagu1036419398
- pl_droidsonroids_gif
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-GCM-NoPadding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS7Padding
- AES-GCM-NoPadding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
Получает информацию о входящих/исходящих звонках.
Получает информацию об отправленых/принятых SMS.
