Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
- Android.RemoteCode.256.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) gd.a.s####.com:80
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(HTTP/1.1) s####.e.qq.com:80
- TCP(HTTP/1.1) luna-im####.qq.com.####.com:80
- TCP(HTTP/1.1) p.cdn.s####.####.com:80
- TCP(HTTP/1.1) sf3-ttc####.ps####.com:80
- TCP(HTTP/1.1) c.cdn.s####.####.com:80
- TCP(HTTP/1.1) 1####.100.207.230:80
- TCP(HTTP/1.1) sf1-ttc####.ps####.com:80
- TCP(HTTP/1.1) mi.g####.qq.com:80
- TCP(HTTP/1.1) 1####.211.155.179:80
- TCP(TLS/1.0) analy####.map.qq.com:443
- TCP(TLS/1.0) mobads-####.b####.com:443
- TCP(TLS/1.0) 1####.103.122.27:443
- TCP(TLS/1.0) ce3e####.j####.cn:443
- TCP(TLS/1.0) 1####.100.207.230:443
- TCP(TLS/1.0) sf3-ttc####.ps####.com:443
- TCP(TLS/1.0) 1####.144.196.161:443
- TCP(TLS/1.0) ap####.uc.cn:443
- TCP(TLS/1.0) 1####.100.207.201:443
- TCP(TLS/1.0) bds.sn####.com:443
- TCP(TLS/1.0) to####.ctobsn####.com:443
- TCP(TLS/1.0) res####.a####.com:443
- TCP(TLS/1.0) gd.a.s####.com:443
- TCP(TLS/1.0) 1####.206.209.227:443
- TCP(TLS/1.0) all.t####.httpdn####.####.net:443
- TCP(TLS/1.0) bj####.j####.cn:443
- TCP(TLS/1.0) gs.a.s####.com:443
- TCP(TLS/1.0) dm.tou####.com:443
- TCP 1####.232.25.174:21000
- TCP 1####.230.236.46:7001
- UDP s.j####.cn:19000
Запросы DNS:
- analy####.map.qq.com
- and####.b####.qq.com
- ap####.uc.cn
- api.pass####.s####.com
- bds.sn####.com
- bj####.j####.cn
- c.cdn.s####.com
- ce3e####.j####.cn
- dig.b####.net
- dm.tou####.com
- easytom####.com
- ex####.sn####.com
- imgc####.qq.com
- is.sn####.com
- mi.g####.qq.com
- mo####.b####.com
- mobads-####.b####.com
- p.cdn.s####.com
- pass####.plu####.s####.com
- res####.a####.com
- s####.e.qq.com
- s####.sn####.com
- s.ads.s####.com
- s.j####.cn
- sf1-ttc####.ps####.com
- sf3-ttc####.ps####.com
- sis.j####.io
- t.ads.s####.com
- to####.ctobsn####.com
- ur####.ads.s####.com
- v####.ix####.com
- v.cdn.s####.com
Запросы HTTP GET:
- c.cdn.s####.####.com/144/0d8cbdf43253c3fb98edc99c1799e1fa
- c.cdn.s####.####.com/144/0e3023e3971be686b3a775277fafffb5
- c.cdn.s####.####.com/144/2102cc4b88cc75a27f871df95e1e654e
- c.cdn.s####.####.com/144/a27944c0ee1ce2a2403fd8bada9fc558
- c.cdn.s####.####.com/144/a6267828126dc1048f374e07f5ed0a19
- c.cdn.s####.####.com/article/6641213174118877184
- c.cdn.s####.####.com/article/6641572682385063949
- c.cdn.s####.####.com/article/6642540530301405185
- c.cdn.s####.####.com/article/6643253694139729921
- c.cdn.s####.####.com/article/6643295787432282112
- c.cdn.s####.####.com/article/6643445387883448321
- c.cdn.s####.####.com/article/6643477862747734048
- c.cdn.s####.####.com/e4889031/139e011198431babab2aa2517e45e74f
- c.cdn.s####.####.com/e4889031/d382f73b3d5a971354baaa3009c4bcca
- c.cdn.s####.####.com/image/095a0b9965ea46a929053c83017686f7.jpeg
- c.cdn.s####.####.com/image/a89a52d617ef9baadf8a02b2ba256158.jpeg
- c.cdn.s####.####.com/o_convert,f_webp,c_fill,w_165,h_120,q_70/images/202...
- c.cdn.s####.####.com/o_convert,f_webp,c_fill,w_28,h_28,q_70/feb7725f/thu...
- gd.a.s####.com/topic/getPopularity?topicId=####&appName=####&sourceType=...
- luna-im####.qq.com.####.com/qzone/biz/gdt/mod/android/AndroidAllInOne/pr...
- mi.g####.qq.com/gdt_mview.fcg?datatype=####&posid=####&count=####&r=####...
- p.cdn.s####.####.com/570d99e4/aad34b21aa4a5a4ccca47e5439907e81.png
- p.cdn.s####.####.com/app/leyuan/icon_1AT8nwrMnqMJewpbbc8p.png
- p.cdn.s####.####.com/o_convert,f_webp,c_fill,w_165,h_120,q_70/723cf2ea/4...
- p.cdn.s####.####.com/o_convert,f_webp,c_fill,w_165,h_120,q_70/723cf2ea/b...
- p.cdn.s####.####.com/o_convert,f_webp,c_fill,w_165,h_120,q_70/723cf2ea/e...
- p.cdn.s####.####.com/o_convert,f_webp,c_fill,w_165,h_120,q_70/images/202...
- p.cdn.s####.####.com/o_convert,f_webp,c_fill,w_28,h_28,q_70/e4889031/thu...
- sf1-ttc####.ps####.com/img/web.business.image/202003055d0d98485aa085e846...
- sf1-ttc####.ps####.com/obj/tos-cn-p-0000/bdc8cc02d4d640728de81addfec114cd
- sf3-ttc####.ps####.com/83fbac787e0b718b14cd4235c43a0794/5e68ddb2/video/t...
Запросы HTTP POST:
- 1####.100.207.230/gundam/switch
- and####.b####.qq.com/rqd/async?aid=####
- gd.a.s####.com/ad/get
- gd.a.s####.com/config/ads/getAds
- gd.a.s####.com/config/exceptionfilter
- gd.a.s####.com/config/getBootConfig
- gd.a.s####.com/config/getConfigByVer
- gd.a.s####.com/config/getDownloadLink
- gd.a.s####.com/config/getSkinConfig
- gd.a.s####.com/config/getUserConfig
- gd.a.s####.com/config/hotwords/get
- gd.a.s####.com/config/showActivitiesInfo
- gd.a.s####.com/engine/ad
- gd.a.s####.com/engine/recommend
- gd.a.s####.com/engine/smallvideov2
- gd.a.s####.com/gundam/switch
- gd.a.s####.com/log/report
- gd.a.s####.com/point/getRewardRules
- gd.a.s####.com/point/getWithdrawRulesNew
- gd.a.s####.com/receive/reyun
- gd.a.s####.com/tab/getTabs
- gd.a.s####.com/user/task/rewardNotice
- s####.e.qq.com/activate
- s####.e.qq.com/msg
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/-1415860144-1332186144
- /data/data/####/-602871571745662756
- /data/data/####/.artc_lock
- /data/data/####/.at_lock
- /data/data/####/.bak
- /data/data/####/.di
- /data/data/####/.dic_lock
- /data/data/####/.duid
- /data/data/####/.globalLock
- /data/data/####/.im_lock
- /data/data/####/.jg.ic
- /data/data/####/.lesd_lock
- /data/data/####/.lock
- /data/data/####/.pg_lock
- /data/data/####/.pgs_lock
- /data/data/####/.quicknews_turn
- /data/data/####/.rc_lock
- /data/data/####/.vpl_lock
- /data/data/####/0205dc51-7d4b-4bc4-be42-1c2a8624f967
- /data/data/####/04ced8e039c10b3e2b7bf339c471c540.0
- /data/data/####/0fc558eb2dd179562cc658939d373721e18b24b9636b07d....0.tmp
- /data/data/####/1002
- /data/data/####/1004
- /data/data/####/143970178-1509997924
- /data/data/####/2387.yaqcookie
- /data/data/####/297478229523.0
- /data/data/####/29daea481b4150030fd61f4a12124dfcb8865a167fcd09e....0.tmp
- /data/data/####/2d94c289-c0b9-48b3-869b-66978b4254e2
- /data/data/####/321e4758ff50e08fe05d8f7ef1c2d039230f1d0f0ed88c4....0.tmp
- /data/data/####/61ec3494ebf875d8e288b4bf620019796c7bf6cc58daff8....0.tmp
- /data/data/####/62e2b3a00e8c2b72cd96451be810cb5f.0
- /data/data/####/6c553498c758fdae0ee2be2337bc831b
- /data/data/####/6c553498c758fdae0ee2be2337bc831b.tmp
- /data/data/####/6fddaa95-c3fe-447e-bded-7821b465ed3d
- /data/data/####/70461d26694fdde9009b951e1c05babc
- /data/data/####/70461d26694fdde9009b951e1c05babc.tmp
- /data/data/####/7273d5f4-7b6d-46c1-b01f-d1b64d54659b
- /data/data/####/7420e6c3-6e9a-4acd-b124-62edda6660bb
- /data/data/####/7620353041247049592
- /data/data/####/76a17e4d26509eff58ed3521c8be67adc3660894000c0a6....0.tmp
- /data/data/####/7fa4135951a48aa23a509998c31d4e0999d15c515930b51....0.tmp
- /data/data/####/94a685f11c56bab7603d7ac783281750c9bc81033d17f69....0.tmp
- /data/data/####/A3AEECD8.dex
- /data/data/####/BuglySdkInfos.xml
- /data/data/####/GDTSDK.db
- /data/data/####/GDTSDK.db-journal
- /data/data/####/IpInfos.xml
- /data/data/####/MultiDex.lock
- /data/data/####/Push_Page_Config.xml
- /data/data/####/QAPM_Magnifier.xml
- /data/data/####/SWENOFNI0UHOS0MOC.anrtmp
- /data/data/####/SWENOFNI0UHOS0MOC.bati
- /data/data/####/SWENOFNI0UHOS0MOC.end
- /data/data/####/SWENOFNI0UHOS0MOC.hdr
- /data/data/####/SWENOFNI0UHOS0MOC.meminfo
- /data/data/####/SWENOFNI0UHOS0MOC.pid
- /data/data/####/SWENOFNI0UHOS0MOC.ps
- /data/data/####/SWENOFNI0UHOS0MOC.st
- /data/data/####/SWENOFNI0UHOS0MOC.start
- /data/data/####/SWENOFNI0UHOS0MOC.status
- /data/data/####/SWENOFNI0UHOS0MOC.sts
- /data/data/####/SWENOFNI0UHOS0MOC.time
- /data/data/####/SWENOFNI0UHOS0MOC.uptime
- /data/data/####/SWITCH.xml
- /data/data/####/ThrowalbeLog.db-journal
- /data/data/####/__x_adsdk_agent_header__.xml
- /data/data/####/__xadsdk__remote__final__builtin__.jar
- /data/data/####/__xadsdk__remote__final__builtinversion__.jar
- /data/data/####/__xadsdk__remote__final__running__.jar
- /data/data/####/a9c0dd1db46bffd2cdf5ec9fe8111263c005637fb77ea4f....0.tmp
- /data/data/####/ac5d91cf-252f-48dc-9e10-1f651a942eef
- /data/data/####/ads.db
- /data/data/####/ads.db-journal
- /data/data/####/alsn20170807.db
- /data/data/####/alsn20170807.db-journal
- /data/data/####/article-db-journal
- /data/data/####/b5e2fd31f5c32c5d84c3dcf0640b66d71e99f742549b21e....0.tmp
- /data/data/####/bal.catch
- /data/data/####/bd_embed_tea_agent.db-journal
- /data/data/####/bugly_db_-journal
- /data/data/####/bwc.catch
- /data/data/####/bytedance_downloader.db-journal
- /data/data/####/c0586a10777146560765a69231d89beb.xml
- /data/data/####/c15e426445939e01bec98c3f2fc8b8c9dae21dcc24483a6....0.tmp
- /data/data/####/c67d5bce668d26fb0121ad620414972d37aeab435c96812....0.tmp
- /data/data/####/ca273c0ab54a79820eb78cbab113b06e94ad0927cb338c2....0.tmp
- /data/data/####/ca678bd9d68d64c2141a3bdf635b889388b23bb450be6cf....0.tmp
- /data/data/####/cdt.wa (deleted)
- /data/data/####/ce04bd8105c135f89b0dfd5d9c1e8c5d
- /data/data/####/cid
- /data/data/####/cn.jiguang.common.xml
- /data/data/####/cn.jiguang.prefs.xml
- /data/data/####/cn.jiguang.sdk.address.xml
- /data/data/####/cn.jiguang.sdk.share.profile.xml
- /data/data/####/cn.jiguang.sdk.user.profile.xml
- /data/data/####/cn.jpush.android.user.profile.xml
- /data/data/####/cn.jpush.config.xml
- /data/data/####/cn.jpush.preferences.v2.rid.xml
- /data/data/####/cn.jpush.preferences.v2.xml
- /data/data/####/com.admaster.sdk.other.xml
- /data/data/####/com.admaster.sdk.sdkconfig.xml
- /data/data/####/com.baidu.mobads.loader.xml
- /data/data/####/com.sohu.infonews.BETA_VALUES.xml
- /data/data/####/com.sohu.infonews.xml
- /data/data/####/com.util.sputil.xml
- /data/data/####/common-db-journal
- /data/data/####/cr.wa (deleted)
- /data/data/####/crashrecord.xml
- /data/data/####/d26691ead7fdbacf5dc275629b2bfc992df10e9ea81125d....0.tmp
- /data/data/####/d758efb5cbef7744475381a74ce23933.xml
- /data/data/####/daemon
- /data/data/####/devCloudSetting.cfg
- /data/data/####/devCloudSetting.sig
- /data/data/####/dexMethod.88934210.dat
- /data/data/####/dt.wa (deleted)
- /data/data/####/embed_applog_stats.xml
- /data/data/####/embed_last_sp_session.xml
- /data/data/####/f921dfd706643a1585cd61bdc1429dca99a5cd80f2867e0....0.tmp
- /data/data/####/f97fa1e64f3c09e457dae7a2063f2daa9f12258a86be308....0.tmp
- /data/data/####/fa493ea2-dc73-4ae6-adc2-0cdb05a22cf5
- /data/data/####/gdt_config.cfg
- /data/data/####/gdt_plugin.jar
- /data/data/####/gdt_plugin.jar.sig
- /data/data/####/gdt_plugin.tmp
- /data/data/####/gdt_plugin.tmp.sig
- /data/data/####/gdt_suid
- /data/data/####/hianalytics_global_v2_com.sohu.infonews.xml
- /data/data/####/hmdb
- /data/data/####/hmdb-journal
- /data/data/####/infonews.exception.filter.xml
- /data/data/####/journal
- /data/data/####/journal.tmp
- /data/data/####/k.store
- /data/data/####/libjiagu1859141543.so
- /data/data/####/libyaqbasic.88934210.so
- /data/data/####/libyaqpro.88934210.so
- /data/data/####/local_crash_lock
- /data/data/####/logdb.db
- /data/data/####/logdb.db-journal
- /data/data/####/m_config.json
- /data/data/####/mob_commons_1
- /data/data/####/mob_sdk_exception_1
- /data/data/####/multidex.version.xml
- /data/data/####/mzSdkProfilePrefs.xml
- /data/data/####/mzmonitor
- /data/data/####/mzmonitor-journal
- /data/data/####/native_record_lock
- /data/data/####/npth.xml
- /data/data/####/npth_log.db-journal
- /data/data/####/pref.xml
- /data/data/####/preload_news_ad.db
- /data/data/####/preload_news_ad.db-journal
- /data/data/####/push_stat_cache.json
- /data/data/####/rl.catch
- /data/data/####/sc_preload_resource.xml
- /data/data/####/sc_tracking.db
- /data/data/####/sc_tracking.db-journal
- /data/data/####/scadsdk_collection.xml
- /data/data/####/sdkCloudSetting.cfg
- /data/data/####/sdkCloudSetting.sig
- /data/data/####/security_info
- /data/data/####/snssdk_openudid.xml
- /data/data/####/sp_multi_ttadnet_config.xml
- /data/data/####/sp_push_time.xml
- /data/data/####/ss_app_config.xml
- /data/data/####/trackingplugin.db
- /data/data/####/trackingplugin.db-journal
- /data/data/####/tt_dns_settings.xml
- /data/data/####/tt_materialMeta.xml
- /data/data/####/tt_sdk_settings.xml
- /data/data/####/tt_sp_app_list.xml
- /data/data/####/tt_splash.xml
- /data/data/####/ttnet_tnc_config.xml
- /data/data/####/ttopenadsdk.xml
- /data/data/####/ttopensdk.db-journal
- /data/data/####/tv_swt_d.xml
- /data/data/####/unique
- /data/data/####/update.xml
- /data/data/####/update_lc
- /data/data/####/ver
- /data/data/####/webview.db-journal
- /data/data/####/yaqsdkcookie
- /data/media/####/.3deaedc28469674418c57af6b7cc832b
- /data/media/####/.mn_234987532
- /data/media/####/.nomedia
- /data/media/####/.push_deviceid
- /data/media/####/.slw
- /data/media/####/1f86bef9d6cf7da31b8dd88976fc2ac9
- /data/media/####/1f86bef9d6cf7da31b8dd88976fc2ac9.info
- /data/media/####/317c9bfc79663940281af7372d78bd37.tmp
- /data/media/####/3ef441fc8f199a16c7b6404e890670ab
- /data/media/####/3ef441fc8f199a16c7b6404e890670ab.tmp
- /data/media/####/6bee6f7a2b330ea4f02daf261ece10a8.tmp
- /data/media/####/INSTALLATION
- /data/media/####/aef3004dc85a6637d45e835126bfad22
- /data/media/####/aef3004dc85a6637d45e835126bfad22.info
- /data/media/####/c7f246c6d0b4119d802a8cb001ccd74c
- /data/media/####/c7f246c6d0b4119d802a8cb001ccd74c.info
- /data/media/####/clientudid.dat
- /data/media/####/d5a644f7b56a0c4c71cd3efdfcaf2bed
- /data/media/####/d5a644f7b56a0c4c71cd3efdfcaf2bed.info
- /data/media/####/ff8b634c6e7d0097835d3792d447c11c
- /data/media/####/ff8b634c6e7d0097835d3792d447c11c.info
- /data/media/####/temp_pkg_info.json
- /data/media/####/tt_splash_image_cache
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /proc/cpuinfo
- /system/bin/sh -c getprop
- <Package Folder>/files/cid
- cat /sys/class/net/wlan0/address
- chmod 700 <Package Folder>/app_bin/daemon
- chmod 777 <Package Folder>/files/cid
- getprop
- getprop ro.build.version.emui
- getprop ro.build.version.opporom
- getprop ro.letv.release.version
- getprop ro.miui.ui.version.name
- getprop ro.smartisan.version
- getprop ro.vivo.os.build.display.id
- getprop ro.vivo.os.version
- ls -l /system/bin/su
- ps
- sh
- sh -c type su
Загружает динамические библиотеки:
- A3AEECD8
- Bugly
- GNaviMapex
- crashsdk
- ijkffmpeg
- ijkplayer
- ijksdl
- jcore224
- libjiagu1859141543
- libyaqbasic.88934210
- libyaqpro.88934210
- nms
- sc_security
- tobEmbedEncrypt
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-ECB-PKCS5Padding
- AES-ECB-PKCS7Padding
- AES-GCM-NoPadding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-ECB-NoPadding
- AES-ECB-PKCS5Padding
- AES-ECB-PKCS7Padding
- AES-GCM-NoPadding
- RSA-ECB-PKCS1Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Получает информацию о привязанных к устройству аккаунтах (Google, Facebook и т. д.).
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
