Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.artc_lock
- /data/data/####/.cl
- /data/data/####/.dic_lock
- /data/data/####/.du_lock
- /data/data/####/.duid
- /data/data/####/.globalLock
- /data/data/####/.gm_lock
- /data/data/####/.im_lock
- /data/data/####/.jg.ic
- /data/data/####/.jg.store.report_cf
- /data/data/####/.lesd_lock
- /data/data/####/.lock
- /data/data/####/.pkg_lock
- /data/data/####/.pkgs_lock
- /data/data/####/.slw
- /data/data/####/.ss_lock
- /data/data/####/.vpl_lock
- /data/data/####/.wkl
- /data/data/####/1002
- /data/data/####/1004
- /data/data/####/1d2b904cbeadfb72ed9546111a231c85.0
- /data/data/####/24e6b7de-d0e9-4ef3-a4ed-36329022f58e
- /data/data/####/7974fbcfca2f8fd784debf370cc12627.0
- /data/data/####/BUGLY_COMMON_VALUES.xml
- /data/data/####/DB_DRIVER-journal
- /data/data/####/JPushSA_Config.xml
- /data/data/####/JPushSA_Config.xml.bak
- /data/data/####/ThrowalbeLog.db-journal
- /data/data/####/a935ba36-b955-4263-a6b4-267f66a8941c
- /data/data/####/alsn20170807.db
- /data/data/####/alsn20170807.db-journal
- /data/data/####/bugly_db_-journal
- /data/data/####/chuck.db-journal
- /data/data/####/classes.dex
- /data/data/####/classes.dex;classes2.dex
- /data/data/####/classes.dex;classes3.dex
- /data/data/####/classes.dex;classes4.dex
- /data/data/####/cn.jpush.android.user.profile.xml
- /data/data/####/cn.jpush.preferences.v2.xml
- /data/data/####/cn.jpush.preferences.v2.xml.bak (deleted)
- /data/data/####/com.iflytek.id.xml
- /data/data/####/com.iflytek.msc.xml
- /data/data/####/com.taxiunion.jiahedriver.BETA_VALUES.xml
- /data/data/####/com.taxiunion.jiahedriver.BETA_VALUES.xml.bak
- /data/data/####/crashrecord.xml
- /data/data/####/crashrecord.xml (deleted)
- /data/data/####/dfba17c4d52138281c2597d63d6b225a.0
- /data/data/####/domain_1
- /data/data/####/getui_sp.xml
- /data/data/####/hmdb
- /data/data/####/hmdb-journal
- /data/data/####/iflytek_collect_state.xml
- /data/data/####/iflytek_collect_state.xml.bak
- /data/data/####/init.pid
- /data/data/####/init_c1.pid
- /data/data/####/journal
- /data/data/####/jpush_stat_cache.json
- /data/data/####/jpush_stat_cache_history.json
- /data/data/####/jpush_uncaughtexception_file
- /data/data/####/k.store
- /data/data/####/libjiagu.so
- /data/data/####/local_crash_lock
- /data/data/####/logdb.db
- /data/data/####/logdb.db-journal
- /data/data/####/mob_commons_1
- /data/data/####/native_record_lock
- /data/data/####/native_record_lock (deleted)
- /data/data/####/proc_auxv
- /data/data/####/push.pid
- /data/data/####/pushsdk.db-journal
- /data/data/####/run.pid
- /data/data/####/security_info
- /data/data/####/wakeup_cache.json
- /data/media/####/.artc_lock
- /data/media/####/.dic_lock
- /data/media/####/.du_lock
- /data/media/####/.duid
- /data/media/####/.globalLock
- /data/media/####/.gm_lock
- /data/media/####/.im_lock
- /data/media/####/.lesd_lock
- /data/media/####/.pkg_lock
- /data/media/####/.pkgs_lock
- /data/media/####/.ss_lock
- /data/media/####/.wkl
- /data/media/####/1641271953854.db (deleted)
- /data/media/####/Lesing-2022-01-04.log
- /data/media/####/alsn20170807.db
- /data/media/####/alsn20170807.db-journal
- /data/media/####/log-driver-2022-01-04.txt
- /data/misc/####/primary.prof
Другие:
Запускает следующие shell-скрипты:
- cat /sys/class/net/wlan0/address
- getprop
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-ECB-PKCS7Padding
- AES-GCM-NoPadding
- RSA-ECB-PKCS1Padding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Отрисовывает собственные окна поверх других приложений.
Запрашивает разрешение на отображение системных уведомлений.
