Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) m.d####.mob.com:80
- TCP(HTTP/1.1) c-h####.g####.com:80
- TCP(HTTP/1.1) cdn-sdk####.g####.com.####.com:80
- TCP(HTTP/1.1) api.s####.mob.com:80
- TCP(HTTP/1.1) pentaq####.b0.a####.com:80
- TCP(TLS/1.0) mo####.pe####.com:443
- TCP(TLS/1.0) av1.x####.com:443
- TCP(TLS/1.0) c####.x####.com:443
- TCP cm-1####.g####.com:5224
- TCP sdk.o####.t####.####.com:5224
Запросы DNS:
- a####.exc.mob.com
- api.s####.mob.com
- av1.x####.com
- c####.x####.com
- c-h####.g####.com
- cdn-sdk####.g####.com
- cm-1####.g####.com
- d####.d####.mob.com
- i####.pe####.com
- m.d####.mob.com
- mo####.pe####.com
- mt####.go####.com
- sdk.c####.g####.com
- sdk.o####.p####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
Запросы HTTP GET:
- cdn-sdk####.g####.com.####.com/tdata_EAx630
- cdn-sdk####.g####.com.####.com/tdata_Hei769
- cdn-sdk####.g####.com.####.com/tdata_fPG280
- m.d####.mob.com/cconf?appkey=####&plat=####&apppkg=####&appver=####&netw...
- pentaq####.b0.a####.com/2020/11/2020-11-28-23-09-35-35.jpg
- pentaq####.b0.a####.com/2020/11/2020-11-29-18-54-55-76.jpg
- pentaq####.b0.a####.com/2020/11/2020-11-30-23-09-54-72.png
- pentaq####.b0.a####.com/matchpic/201812/2117/231515453841954.jpg
Запросы HTTP POST:
- api.s####.mob.com/conf5
- api.s####.mob.com/conn
- api.s####.mob.com/data2
- c-h####.g####.com/api.php?format=####&t=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/.lock
- /data/data/####/.mrecord
- /data/data/####/.mrlock
- /data/data/####/.statistics
- /data/data/####/103c4e550e088ff62428065424c98735f4a98240f691d9f....0.tmp
- /data/data/####/1606751306661_2190
- /data/data/####/1606751307483_2190
- /data/data/####/1606751308536_2190
- /data/data/####/1606751309263_2190
- /data/data/####/1606751309832_2190
- /data/data/####/1606751310141_2190
- /data/data/####/1606751312783_2190
- /data/data/####/1606751314663_2190
- /data/data/####/1606751318373_2375
- /data/data/####/1606751327390_2375
- /data/data/####/1606751329946_2190
- /data/data/####/1606751330414_2190
- /data/data/####/1606751339301_2375
- /data/data/####/1606751371502_2190
- /data/data/####/1606751372216_2190
- /data/data/####/1606751373317_2375
- /data/data/####/1cfe115030e151c9b8c7244c8188a041475f62e8f47364c....0.tmp
- /data/data/####/1cfe115030e151c9b8c7244c8188a041475f62e8f47364c...d33b.0
- /data/data/####/Archimedes_p1
- /data/data/####/Archimedes_p2
- /data/data/####/Archimedes_p3
- /data/data/####/Archimedes_p4
- /data/data/####/Archimedes_p5
- /data/data/####/CookiePersistence.xml
- /data/data/####/MultiDex.lock
- /data/data/####/TD_app_pefercen_profile.xml
- /data/data/####/TDpref_cloudcontrol1.xml
- /data/data/####/TDpref_longtime.xml
- /data/data/####/TDpref_longtime0.xml
- /data/data/####/TDpref_longtime0.xml.bak
- /data/data/####/TDpref_shorttime.xml
- /data/data/####/TDpref_shorttime0.xml
- /data/data/####/ThrowalbeLog.db-journal
- /data/data/####/a92f2eb2323784394a4c96f1ab5a88434c039acb1f32255....0.tmp
- /data/data/####/bc431c758f1e33e9f830d9af905f56a795892095fb78fde....0.tmp
- /data/data/####/com.oom.pentaq_preferences.xml
- /data/data/####/device_id.xml.xml
- /data/data/####/dso_deps
- /data/data/####/dso_lock
- /data/data/####/dso_manifest
- /data/data/####/dso_state
- /data/data/####/gdaemon_20161017
- /data/data/####/getui_sp.xml
- /data/data/####/init.pid
- /data/data/####/init_c1.pid
- /data/data/####/iv
- /data/data/####/journal.tmp
- /data/data/####/libjiagu-1391202135.so
- /data/data/####/multidex.version.xml
- /data/data/####/push.pid
- /data/data/####/pushext.db-journal
- /data/data/####/pushg.db-journal
- /data/data/####/pushsdk.db-journal
- /data/data/####/run.pid
- /data/data/####/salt
- /data/data/####/share_sdk_1.xml
- /data/data/####/tdata_EAx630
- /data/data/####/tdata_EAx630.jar
- /data/data/####/tdata_Hei769
- /data/data/####/tdata_Hei769.jar
- /data/data/####/tdata_fPG280
- /data/data/####/tdata_fPG280.jar
- /data/data/####/tdid.xml
- /data/media/####/.ccLock
- /data/media/####/.dk
- /data/media/####/.globalLock
- /data/media/####/.tcookieid
- /data/media/####/app.db
- /data/media/####/com.getui.sdk.deviceId.db
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/com.oom.pentaq.bin
- /data/media/####/com.oom.pentaq.db
- /data/media/####/easemob.log
- /data/media/####/tdata_EAx630
- /data/media/####/tdata_Hei769
- /data/media/####/tdata_fPG280
- /data/media/####/test.log
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/files/gdaemon_20161017 0 <Package>/<Package>.service.PushService 24391 300 0
- chmod 700 <Package Folder>/files/gdaemon_20161017
- chmod 755 <Package Folder>/.jiagu/libjiagu-1391202135.so
- getprop
- sh <Package Folder>/files/gdaemon_20161017 0 <Package>/<Package>.service.PushService 24391 300 0
Загружает динамические библиотеки:
- getuiext2
- hyphenate
- hyphenate_av
- hyphenate_av_recorder
- libjiagu-1391202135
- neh
- sqlite
Использует следующие алгоритмы для шифрования данных:
- AES
- AES-ECB-PKCS7Padding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
