Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) q####.c####.l####.####.com:80
- TCP(HTTP/1.1) c-h####.g####.com:80
- TCP(HTTP/1.1) cdn-sdk####.g####.com.####.com:80
- TCP(HTTP/1.1) i####.meitu####.com:80
- TCP(HTTP/1.1) p####.babytre####.com:80
- TCP(HTTP/1.1) oc.u####.com:80
- TCP(HTTP/1.1) i####.meitu####.com.####.com:80
- TCP(HTTP/1.1) amap####.cn-hang####.oss####.####.com:80
- TCP(HTTP/1.1) 2####.107.1.1:80
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) sdk.o####.p####.####.com:80
- TCP(HTTP/1.1) g.kexi####.com:80
- TCP(HTTP/1.1) m.me####.com:80
- TCP(HTTP/1.1) api.baby####.com:80
- TCP(HTTP/1.1) 2####.107.1.65:80
- TCP(TLS/1.0) 2####.107.1.97:443
- TCP(TLS/1.0) res####.a####.com:443
- TCP sdk.o####.t####.####.com:5224
- TCP cm-1####.ig####.com:5226
Запросы DNS:
- a####.man.aliy####.com
- a####.u####.com
- amap####.cn-hang####.oss####.####.com
- api.baby####.com
- c-h####.g####.com
- cdn-sdk####.g####.com
- cm-1####.ig####.com
- g.kexi####.com
- i####.meitu####.com
- i####.meitu####.com
- i####.meitu####.com
- i####.meitu####.com
- i####.meitu####.com
- m.me####.com
- oc.u####.com
- p####.babytre####.com
- res####.a####.com
- sdk.c####.ig####.com
- sdk.o####.p####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
- trac####.me####.com
- www.me####.com
Запросы HTTP GET:
- amap####.cn-hang####.oss####.####.com/sdkcoor/android/x86/libJni_wgs2gcj...
- api.baby####.com/monitor_sdk_intf/hotfix/patch/get?app_id=####&app_versi...
- api.baby####.com/monitor_sdk_intf/hotfix/switch/get_status?app_id=####&a...
- cdn-sdk####.g####.com.####.com/tdata_CoH340
- cdn-sdk####.g####.com.####.com/tdata_ViN250
- cdn-sdk####.g####.com.####.com/tdata_pKX830
- g.kexi####.com/conf.do?version=####&releaseDateTime=####
- i####.meitu####.com.####.com/group1/M00/0C/73/c78b0ad773ee4ba895f6b0cfba...
- i####.meitu####.com.####.com/group1/M00/1C/31/131f1ce1147f43b9959de08637...
- i####.meitu####.com.####.com/group1/M00/1E/54/5fa95471e66b484aab71670b15...
- i####.meitu####.com.####.com/group1/M00/2A/1B/e03b308d31bc43d9a499adfa2a...
- i####.meitu####.com.####.com/group1/M00/5B/98/7d9e2b5b79334e59842a2c2e6d...
- i####.meitu####.com.####.com/group1/M00/5E/7B/5e703cdd259c48a7b92a34e24c...
- i####.meitu####.com.####.com/group1/M00/61/A1/bb102ea982c84486954d51a106...
- i####.meitu####.com.####.com/group1/M00/73/B4/f207737b40ec406bb937129114...
- i####.meitu####.com.####.com/group1/M00/8E/4C/43095fe99c2a4140830c034c8e...
- i####.meitu####.com.####.com/group1/M00/90/9B/37ac996153e644909b4fd0a88e...
- i####.meitu####.com.####.com/group1/M00/94/75/851f17b38759462c805afa7df6...
- i####.meitu####.com.####.com/group1/M00/A6/E2/272bb2be68aa4ac2a6bffd3e26...
- i####.meitu####.com.####.com/group1/M00/A8/32/917061e31a3c4288a8e5b6325a...
- i####.meitu####.com.####.com/group1/M00/BD/82/10d41ed5827b42f5b5d8bd85e1...
- i####.meitu####.com.####.com/group1/M00/C4/AE/aefa6a5e3c5a43c4ac9fec8f9f...
- i####.meitu####.com.####.com/group1/M00/CD/0A/f8d0afea99fb4ee9a49a5f760d...
- i####.meitu####.com.####.com/group1/M00/DE/89/617d55d1786d489db9fdeade23...
- i####.meitu####.com.####.com/group1/M00/E7/3F/3f71d03b954f491f8f3abe0832...
- i####.meitu####.com.####.com/group1/M00/ED/13/3b734fb8113a444f95a6edbb84...
- i####.meitu####.com.####.com/group1/M00/F6/AE/756175d336f04f70aedce83c26...
- i####.meitu####.com.####.com/group1/M00/F7/F0/fc3e27df7d2f4601a4f4177b31...
- i####.meitu####.com/group1/M00/11/C6/c6d39bda8f8e497eb77741141b54b9f2.png
- i####.meitu####.com/group1/M00/24/7F/67d272b86524491097193c8315b907fa.png
- i####.meitu####.com/group1/M00/27/7B/3a8a9cdaef0f418584c2745b77bba54c.jpg
- i####.meitu####.com/group1/M00/63/CF/b8d063bd4e1643e4a057669cbcfe6ff9.pn...
- i####.meitu####.com/group1/M00/8E/19/0f919d9cf8e34be7877fa2c7a86fff37.jpg
- i####.meitu####.com/group1/M00/A7/48/4f035e8a7966480d9e3bd0dccc38e0ee.jpg
- i####.meitu####.com/group1/M00/B5/46/a947f539cdbe46ba95d8a1bb516e2954.jpg
- i####.meitu####.com/group1/M00/E3/12/81ee4db504c94a94a012ca12d8e34c5e.png
- i####.meitu####.com/group1/M00/E3/6E/b8f38a9144e346e3a3a29516fdec62d0.jpg
- m.me####.com/
- m.me####.com/mobile/app/upgrade.htm?apptype=####&appversion=####&cityid=...
- m.me####.com/mobile/system/getRequestBaseInfo.htm?apptype=####&appversio...
- m.me####.com/newapi/cms/findHomeModuleList?agekeyids=####&ageweek=####&c...
- m.me####.com/newapi/cms/findHomeWordNavigator?cityid=####&protocol=####&...
- m.me####.com/newapi/cms/findModuleInfoList?cityid=####&curpage=####&page...
- m.me####.com/newapi/cms/findUserAgeData?birthday=####&cityid=####&protoc...
- m.me####.com/newapi/mobile/common/close_site_notice?cityid=####&protocol...
- m.me####.com/newapi/mobile/common/querySwitch?cityid=####&protocol=####&...
- p####.babytre####.com/baf_hotfix/20181029/FmBI6imlHzFPJGoU-rEUM88MO_8-
- q####.c####.l####.####.com/config/hz-hzv6.conf
- sdk.o####.p####.####.com/api/addr.htm
Запросы HTTP POST:
- a####.u####.com/app_logs
- c-h####.g####.com/api.php?format=####&t=####
- m.me####.com/mobile/appbase/newestPatch.htm
- m.me####.com/mobile/community/getAppInitAdvertiseInfo.htm
- m.me####.com/newapi/price/query/byspuandsku
- m.me####.com/service/T0001
- oc.u####.com/v2/check_config_update
- oc.u####.com/v2/get_update_time
- sdk.o####.p####.####.com/api.php?format=####&t=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/1857306486-432247954
- /data/data/####/1d2b904cbeadfb72ed9546111a231c85.0
- /data/data/####/2Izc0NY2PnLPmo6I_VyDZSpRjUg.-340817001.tmp
- /data/data/####/3HsYRqwzqDSsQNpqGbl4GsX22XQ.-818360425.tmp
- /data/data/####/42B0YPipk1YzKVZOzlKkQljAacQ.-593048961.tmp
- /data/data/####/9-JU69R52WtWlGhH02Em-0fhLWA.-1766032104.tmp
- /data/data/####/A0tLePDcJMp5FlSdevIvL9zpNLw.638714011.tmp
- /data/data/####/Alvin2.xml
- /data/data/####/BAF-Dns-sp.xml
- /data/data/####/BYYocRrHJ0NcY1ol3TdV7vr-N-s.-1812851740.tmp
- /data/data/####/Constant.xml
- /data/data/####/ContextData.xml
- /data/data/####/DwLltM4CdRVUv4GUZpKvEnI-sOo.97098789.tmp
- /data/data/####/I43D5tKOa8ZP1rvtVF4cnMqHWb8.668847863.tmp
- /data/data/####/IWOuUAAESdzoOJ_I2kHf_ILdmr4.32659304.tmp
- /data/data/####/Jkb7tB4e2PXRPjBChf5DrHtrts0.-483682568.tmp
- /data/data/####/LbdE8sW9TWk5-pgENqylDlziI6M.367980840.tmp
- /data/data/####/QCbrYGdGJ7f9W3jB8a4qu3qb7ok.-1673273557.tmp
- /data/data/####/RHwSQlB6pgXkDvVBLrxBiuNl9AQ.1693734877.tmp
- /data/data/####/RbKxnyLUq4PYz2B8ftRWDYYniFU.-1181405652.tmp
- /data/data/####/UaA_lQuAjVBpsF3P6iACk0N3Rto.573007660.tmp
- /data/data/####/XNSDKStore1.0.xml
- /data/data/####/XNclientid.xml
- /data/data/####/XNmachineid.xml
- /data/data/####/XR5lzwBcNDPRTrEgcEVvtDFMAcw.2010782367.tmp
- /data/data/####/ZRYR5B58HcYXVxgHikcC4EQk8Ak.2084163854.tmp
- /data/data/####/ZkADLTlcCYkW5Y2V4LqtcP4adD8.34841192.tmp
- /data/data/####/_andfix_.xml
- /data/data/####/aliclound_httpdns.db
- /data/data/####/aliclound_httpdns.db-journal
- /data/data/####/analytic.db-journal
- /data/data/####/babytree-baf-hotfix-sp.xml
- /data/data/####/babytree-baf-hotfix.db-journal
- /data/data/####/baf-ad-new.xml
- /data/data/####/baf-new-ad.db-journal
- /data/data/####/bb_adsdk_prefer.xml.xml
- /data/data/####/bb_analytic_prefer.xml.xml
- /data/data/####/bb_monitor_prefer.xml.xml
- /data/data/####/cd-1sShZgyFyIomiH0iePKv-F2M.-464865348.tmp
- /data/data/####/com.meitun.mama_preferences.xml
- /data/data/####/dDMIjg6_uAvfWGAxnwYPlXSkN0M.-158293449.tmp
- /data/data/####/fXEvT0POX9cIqIrMPy_QD57g_Po.68695464.tmp
- /data/data/####/gdaemon_20161017
- /data/data/####/getui_sp.xml
- /data/data/####/hYpe_E4I8D_PVRONOOZG2JQhe8U.1315637986.tmp
- /data/data/####/hmdb
- /data/data/####/hmdb-journal
- /data/data/####/httpdns_config_cache.xml
- /data/data/####/iO_6XOy1fWvX5_5IBlJJuWC4h_Y.-961630471.tmp
- /data/data/####/init.pid
- /data/data/####/init_c1.pid
- /data/data/####/jNYT7qPE_HoZKqkz-3IYDQToz6s.1872206806.tmp
- /data/data/####/journal
- /data/data/####/journal.tmp
- /data/data/####/l8HOm7p4LBA62R9VdpYdSW_wMe0.1119238976.tmp
- /data/data/####/libjiagu-434152877.so
- /data/data/####/lich_udid_prefs_2017_#@#.xml
- /data/data/####/loctemp.so
- /data/data/####/logdb.db
- /data/data/####/logdb.db-journal
- /data/data/####/meitun_statistics.db-journal
- /data/data/####/mobclick_agent_online_setting_com.meitun.mama.xml
- /data/data/####/mt_1000_ISME9754_guest6450521077634466458466063...ournal
- /data/data/####/multidex.version.xml
- /data/data/####/patch-crypto.patch
- /data/data/####/patch.dex
- /data/data/####/patch.patch
- /data/data/####/patch.properties
- /data/data/####/pref.xml
- /data/data/####/pref.xml.bak
- /data/data/####/push.pid
- /data/data/####/pushext.db-journal
- /data/data/####/pushg.db-journal
- /data/data/####/pushk.db-journal
- /data/data/####/pushsdk.db-journal
- /data/data/####/rhFWlVDEmABC6TQ485rTs8gg4w0.-1281925048.tmp
- /data/data/####/rov7fKbRMtZEAwjyPLUYKvRDB_Y.-45217863.tmp
- /data/data/####/run.pid
- /data/data/####/s6Tes1Pan1HvsBtXTq3LTEw_JEw.-1568860908.tmp
- /data/data/####/setting.db-journal
- /data/data/####/tB5cHx5OKGWy8eROTj04Qwn0uqs.-1996715515.tmp
- /data/data/####/tdata_CoH340
- /data/data/####/tdata_CoH340.jar
- /data/data/####/tdata_ViN250
- /data/data/####/tdata_ViN250.jar
- /data/data/####/tdata_pKX830
- /data/data/####/tdata_pKX830.jar
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/xnsdkconfig.xml
- /data/media/####/.lich_udid_prefs_2017_#@#
- /data/media/####/.nomedia
- /data/media/####/1587497144119.db
- /data/media/####/1587497149698.db
- /data/media/####/1587497151438.db
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/alsn.db
- /data/media/####/alsn.db-journal
- /data/media/####/app.db
- /data/media/####/com.getui.sdk.deviceId.db
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/com.meitun.mama.bin
- /data/media/####/com.meitun.mama.db
- /data/media/####/journal.tmp
- /data/media/####/tdata_CoH340
- /data/media/####/tdata_ViN250
- /data/media/####/tdata_pKX830
- /data/media/####/test.log
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/files/gdaemon_20161017 0 <Package>/<Package>.push.getui.GetuiPushService 24481 300 0
- cat /sys/class/net/wlan0/address
- chmod 700 <Package Folder>/files/gdaemon_20161017
- sh <Package Folder>/files/gdaemon_20161017 0 <Package>/<Package>.push.getui.GetuiPushService 24481 300 0
Загружает динамические библиотеки:
- andfix
- api_encrypt
- bitmaps
- getuiext2
- libjiagu-434152877
- memchunk
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- DESede
- RSA-ECB-PKCS1Padding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-ECB-PKCS5Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
