Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Gexin.1
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) pad-app####.pi####.com.cn:80
- TCP(HTTP/1.1) ti####.c####.l####.####.com:80
- TCP(HTTP/1.1) pus####.pi####.com.cn:3000
- TCP(HTTP/1.1) cdn-sdk####.g####.com.####.com:80
- TCP(HTTP/1.1) d####.c####.l####.####.com:80
- TCP(HTTP/1.1) c-h####.g####.com:80
- TCP(HTTP/1.1) sdk.o####.p####.####.com:80
- TCP(SSL/3.0) pa####.fresh####.com:443
- TCP(TLS/1.0) redi####.network####.com:443
- TCP(TLS/1.0) dc1.network####.com:443
- TCP(TLS/1.0) m####.pi####.com.cn:443
- TCP(TLS/1.0) pa####.fresh####.com:443
- TCP sdk.o####.t####.####.com:5224
- TCP cm-1####.g####.com:5225
- TCP connec####.pus####.pi####.####.cn:6000
Запросы DNS:
- 7j####.c####.z0.####.com
- api####.a####.com
- c-h####.g####.com
- c.sz.gt.####.com
- cdn-sdk####.g####.com
- cm-1####.g####.com
- connec####.pus####.pi####.####.cn
- dc1.network####.com
- m####.pi####.com.cn
- pa####.fresh####.com
- pa####.pi####.com.cn
- pad-app####.pi####.com.cn
- pawf-ac####.pi####.com.cn
- pus####.pi####.com.cn
- redi####.network####.com
- s####.magicwi####.cn
- sdk.c####.g####.com
- sdk.o####.i####.####.com
- sdk.o####.p####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
- w####.pi####.com.cn
Запросы HTTP GET:
- cdn-sdk####.g####.com.####.com/tdata_Ivn104
- cdn-sdk####.g####.com.####.com/tdata_UsE952
- cdn-sdk####.g####.com.####.com/tdata_XYj468
- d####.c####.l####.####.com/config/hzv9.conf
- sdk.o####.p####.####.com/api/addr.htm
- ti####.c####.l####.####.com/tdata_GPf767
- ti####.c####.l####.####.com/tdata_xxG415
Запросы HTTP POST:
- c-h####.g####.com/api.php?format=####&t=####
- pad-app####.pi####.com.cn/g/d?crc=####
- pus####.pi####.com.cn:3000/api/dv/3f565628a54ead6c51c0987c43b0fff91/alia...
- pus####.pi####.com.cn:3000/api/dv/3f565628a54ead6c51c0987c43b0fff91/scre...
- pus####.pi####.com.cn:3000/api/dv/3f565628a54ead6c51c0987c43b0fff91/tag
- pus####.pi####.com.cn:3000/api/q/a/3f565628a54ead6c51c0987c43b0fff91
- pus####.pi####.com.cn:3000/api/statis/3f565628a54ead6c51c0987c43b0fff91/...
- sdk.o####.p####.####.com/api.php?format=####&t=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/AD_OBJ_FILE
- /data/data/####/MobihelpPreferences.xml
- /data/data/####/RYM_app_pefercen_profile.xml
- /data/data/####/RYMpref_longtime.xml
- /data/data/####/RYMpref_shorttime.xml
- /data/data/####/RYMtcagent.db
- /data/data/####/RYMtcagent.db-journal
- /data/data/####/TD_app_pefercen_profile.xml
- /data/data/####/TDpref_longtime.xml
- /data/data/####/TDpref_shorttime.xml
- /data/data/####/TDtcagent.db
- /data/data/####/TDtcagent.db-journal
- /data/data/####/anyDoor_preference_push.xml
- /data/data/####/anyDoor_preferences.xml
- /data/data/####/anyDoor_preferences_loginingo.xml
- /data/data/####/anydoor.db
- /data/data/####/anydoor.db-journal
- /data/data/####/anydoor_msg-journal
- /data/data/####/baseWebListUrl.xml
- /data/data/####/com.networkbench.agent.impl.v2_com.pingan.pinganwifi.xml
- /data/data/####/com.pingan.pinganwifi_preferences.xml
- /data/data/####/com.pinganwifi.app.versioncode.xml
- /data/data/####/com.pinganwifi.app.versionname.xml
- /data/data/####/com.pinganwifi.preference.remove.olddata.xml
- /data/data/####/com.wifi.sdk.portal.xml
- /data/data/####/com_pingan_pinganwifi_action_database.db-journal
- /data/data/####/data_cache_com.pingan.pinganwificore.util.CacheUtil.xml
- /data/data/####/device.xml
- /data/data/####/gdaemon_20161017
- /data/data/####/increment.db-journal
- /data/data/####/init.pid
- /data/data/####/init_c.pid
- /data/data/####/last_know_location.xml
- /data/data/####/libjiagu.so
- /data/data/####/mpush.db-journal
- /data/data/####/mpush_process_preferences_file
- /data/data/####/mpush_version_preferences_file
- /data/data/####/multidex.version.xml
- /data/data/####/mwsdk_analytics.db-journal
- /data/data/####/pa_data_cache.db-journal
- /data/data/####/pa_manifest_cache.xml
- /data/data/####/pa_wifi_config.xml
- /data/data/####/paanydoor_resource_3.8.0.8.jar
- /data/data/####/persistent_data.xml
- /data/data/####/portalinfo_data_cache_com.pingan.pinganwificore...nt.xml
- /data/data/####/pre_mw.xml
- /data/data/####/push.pid
- /data/data/####/pushext.db-journal
- /data/data/####/pushg.db-journal
- /data/data/####/pushsdk.db-journal
- /data/data/####/run.pid
- /data/data/####/ssid_config_data_cache_com.pingan.pinganwificor...nt.xml
- /data/data/####/ssid_config_list_data_cache_com.pingan.pinganwi...nt.xml
- /data/data/####/supplier_config_data_cache_com.pingan.pinganwif...nt.xml
- /data/data/####/td.lock
- /data/data/####/tdata_Ivn104
- /data/data/####/tdata_Ivn104.jar
- /data/data/####/tdata_UsE952
- /data/data/####/tdata_UsE952.jar
- /data/data/####/tdata_XYj468
- /data/data/####/tdata_XYj468.jar
- /data/data/####/tdid.xml
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/webviewCookiesChromiumPrivate.db-journal
- /data/data/####/wifi_in.xml
- /data/media/####/.nomedia
- /data/media/####/.tcookieid
- /data/media/####/app.db
- /data/media/####/com.getui.sdk.deviceId.db
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/com.pingan.pinganwifi.db
- /data/media/####/journal
- /data/media/####/journal.tmp
- /data/media/####/tdata_Ivn104
- /data/media/####/tdata_UsE952
- /data/media/####/tdata_XYj468
- /data/media/####/test.log
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/files/gdaemon_20161017 0 <Package>/com.igexin.sdk.PushService 25116 300 0
- chmod 700 <Package Folder>/files/gdaemon_20161017
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- sh <Package Folder>/files/gdaemon_20161017 0 <Package>/com.igexin.sdk.PushService 25116 300 0
Загружает динамические библиотеки:
- WiFiSecure
- hfenginelib
- libjiagu
- nativemodulelib
- wifiin-jni
Использует следующие алгоритмы для шифрования данных:
- AES
- AES-CBC-NoPadding
- AES-CBC-PKCS7Padding
- AES-CFB-NoPadding
- AES-ECB-PKCS5Padding
- RSA-ECB-PKCS1Padding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
- desede-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-NoPadding
- AES-CFB-NoPadding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию о настроках APN.
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
