Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(HTTP/1.1) 1####.254.116.116:80
- TCP(HTTP/1.1) sdk.o####.p####.####.com:80
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(HTTP/1.1) l####.tbs.qq.com:80
- TCP(HTTP/1.1) o2o.yij####.com:80
- TCP(TLS/1.0) 1####.250.179.138:443
- TCP(TLS/1.0) acceler####.tencent####.com:443
- TCP(TLS/1.0) ds-####.oss-acc####.aliy####.####.com:443
- TCP(TLS/1.2) 1####.250.179.163:443
- TCP(TLS/1.2) 1####.217.17.106:443
- TCP 49.51.1####.154:8080
- TCP 49.51.1####.28:8080
- TCP 1####.62.71.51:8080
- TCP 1####.62.116.7:8080
- UDP 1####.217.17.106:443
Запросы DNS:
- and####.b####.qq.com
- l####.tbs.qq.com
- m####.yij####.com
- o2o.yij####.com
- oss.jiany####.cn
- sdk.o####.p####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
- y####.tim.qq.com
Запросы HTTP POST:
- and####.b####.qq.com/rqd/async?aid=####
- l####.tbs.qq.com/ajax?c=####&k=####
- o2o.yij####.com/jyo2o_web/app/advertSpace/getAdvert.json
- o2o.yij####.com/jyo2o_web/app/auth/index/getIndexDynamicInfo.json
- o2o.yij####.com/jyo2o_web/app/index/eachPlateAds.json
- o2o.yij####.com/jyo2o_web/app/index/getIndexBackgroundInfo.json
- o2o.yij####.com/jyo2o_web/app/index/getIndexTopAds.json
- o2o.yij####.com/jyo2o_web/app/index/getUserActives.json
- o2o.yij####.com/jyo2o_web/app/index/infoFlow.json
- o2o.yij####.com/jyo2o_web/app/index/serviceConfig.json
- o2o.yij####.com/mall/app/my/signin.json
- o2o.yij####.com/mall/app/search/config.json
- sdk.o####.p####.####.com/api.php?format=####&t=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.cl
- /data/data/####/.jg.ic
- /data/data/####/1004
- /data/data/####/190a92c8c2a4153b65681931a4eed231af37db17bd5d30d....0.tmp
- /data/data/####/259d6e6c6268f448c7cd898d146b13a2962a60b74768d64....0.tmp
- /data/data/####/2d3a7b8e5f26ce0f4cf78327e25855aaf70978d02690d26...2a9d.0
- /data/data/####/31e90a89e150d60d72461f13d34ca5749df015a9d861489....0.tmp
- /data/data/####/32a44fd3dc655ce8ec4fdfb5f80a902b447159be95f7dd5....0.tmp
- /data/data/####/34f1d6a873711d8d435a861f16a2ef4d7690660d2963a7d....0.tmp
- /data/data/####/6ae88a312fa743743b323a3c6fb123759ca5948650ae0e2....0.tmp
- /data/data/####/9c203fe2cdffd401881f3577a225c3bcdca866eeef84754....0.tmp
- /data/data/####/BuglySdkInfos.xml
- /data/data/####/DeviceInfo.xml
- /data/data/####/HOME_SIX_CACHE.xml
- /data/data/####/SOON_O2O_CONFIG.xml
- /data/data/####/SP_AROUTER_CACHE.xml
- /data/data/####/SP_AROUTER_CACHE.xml.bak
- /data/data/####/ServerTime_9527.xml
- /data/data/####/WebViewChromiumPrefs.xml
- /data/data/####/ac72c78f799f702b65a844cbbff29583b139aa8cd9ebe74....0.tmp
- /data/data/####/androidx.work.workdb-journal (deleted)
- /data/data/####/b012612e7fcf7d0255f9b7b7540c904c5b84efb61b9332c....0.tmp
- /data/data/####/bugly_db_-journal
- /data/data/####/classes.dex
- /data/data/####/classes.dex;classes2.dex
- /data/data/####/classes.dex;classes3.dex
- /data/data/####/classes.dex;classes4.dex
- /data/data/####/classes.dex;classes5.dex
- /data/data/####/classes.dex;classes6.dex
- /data/data/####/classes.dex;classes7.dex
- /data/data/####/classes.dex;classes8.dex
- /data/data/####/core_info
- /data/data/####/crash_dump.log
- /data/data/####/crashrecord.xml
- /data/data/####/dd095ce2df520c2aea4c1e57aa7c3447995ff41f7ccb996...4386.0
- /data/data/####/download_upload
- /data/data/####/dso_deps
- /data/data/####/dso_lock
- /data/data/####/dso_manifest
- /data/data/####/dso_state
- /data/data/####/durian_base_android_id_info.xml
- /data/data/####/durian_base_android_info.xml
- /data/data/####/e5fc18678326b527ef7faa6f42b1fe2d69fd99525dd5143...8053.0
- /data/data/####/f20d5f69d82842832dd4f480c93ba5bf2d010d9431b8e21....0.tmp
- /data/data/####/f69dae6fe23968101e12d702a1d0a085812135d94a3b91c....0.tmp
- /data/data/####/f791ca57b8fa226c29f7a06dbb8a42f15c0d2dd926344ae...0b7b.0
- /data/data/####/fc3054c1dc86f539f7bc72c3fde62dc25afa1364f4b3da3....0.tmp
- /data/data/####/fe9d5c45fcfe0389fc14e498c36769b46d3294147c70b2b....0.tmp
- /data/data/####/ff7c5476a6f51d6ea855f19595865005fbe227ae3ec7229...3ce9.0
- /data/data/####/getui_sp.xml
- /data/data/####/imsdk_20210617.log
- /data/data/####/init.pid
- /data/data/####/init_c1.pid
- /data/data/####/journal
- /data/data/####/libjiagu.so
- /data/data/####/libweexjsb.so
- /data/data/####/local_crash_lock
- /data/data/####/native_record_lock
- /data/data/####/proc_auxv
- /data/data/####/push.pid
- /data/data/####/pushsdk.db-journal
- /data/data/####/run.pid
- /data/data/####/security_info
- /data/data/####/tbs_download_config.xml
- /data/data/####/tbs_download_config.xml.bak
- /data/data/####/tbs_download_stat.xml
- /data/data/####/tbs_pv_config
- /data/data/####/tbscoreinstall.txt
- /data/data/####/tbslock.txt
- /data/data/####/weex_default_settings.xml
- /data/data/####/yijia_db.db-journal
- /data/misc/####/primary.prof
Другие:
Запускает следующие shell-скрипты:
- /system/lib/arm/houdini /data/app/<Package>-1/lib/arm//libweexjsb.so io.dcloud.miniapp.jsengine 37 38 1 /data/user/0/<Package>/app_crash/crash_dump.log
- getprop
- getprop ro.product.cpu.abi
- io.dcloud.miniapp.jsengine 37 38 1 /data/user/0/<Package>/app_crash/crash_dump.log
Использует следующие алгоритмы для шифрования данных:
- AES-GCM-NoPadding
- DES-CBC-PKCS5Padding
- RSA-ECB-NoPadding
- RSA-ECB-PKCS1Padding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-GCM-NoPadding
- DES-CBC-PKCS5Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о телефоне (номер, IMEI и т. д.).
Отрисовывает собственные окна поверх других приложений.
Запрашивает разрешение на отображение системных уведомлений.
