Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
- Android.Spy.2442
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(HTTP/1.1) c.c####.com:80
- TCP(HTTP/1.1) h5.ikuai####.com:80
- TCP(HTTP/1.1) l####.cc:80
- TCP(HTTP/1.1) sdk.o####.p####.####.com:80
- TCP(HTTP/1.1) downlo####.ks.5####.####.com:80
- TCP(HTTP/1.1) z.c####.com:80
- TCP(HTTP/1.1) l####.b####.com:80
- TCP(HTTP/1.1) log.sn####.com.####.com:80
- TCP(HTTP/1.1) d####.c####.l####.####.com:80
- TCP(HTTP/1.1) c-h####.g####.com:80
- TCP(HTTP/1.1) cdn-sdk####.g####.com.####.com:80
- TCP(TLS/1.0) and####.cli####.go####.com:443
- TCP(TLS/1.0) log.sn####.com.####.com:443
- TCP(TLS/1.0) dub.s####.pa####.com:443
- TCP(TLS/1.0) android####.go####.com:443
- TCP(TLS/1.0) www.google####.com:443
- TCP(TLS/1.0) st####.l####.cc.####.com:443
- TCP(TLS/1.0) is.sn####.com.####.net:443
- TCP(TLS/1.0) ppo.glb.pa####.com:443
- TCP(TLS/1.0) instant####.google####.com:443
- TCP(TLS/1.2) www.google####.com:443
- TCP(TLS/1.2) and####.cli####.go####.com:443
- TCP(TLS/1.2) 2####.58.208.99:443
- TCP cm-1####.g####.com:5225
- TCP l####.5####.com:443
- TCP sdk.o####.t####.####.com:5224
Запросы DNS:
- and####.cli####.go####.com
- and####.google####.com
- android####.go####.com
- api.5####.com
- b.s####.pa####.com
- c-h####.g####.com
- c.c####.com
- cdn-sdk####.g####.com
- cdn.a####.com
- cm-1####.g####.com
- downlo####.ks.5####.com
- dub.s####.pa####.com
- h5.ikuai####.com
- instant####.google####.com
- is.sn####.com
- l####.5####.com
- l####.b####.com
- l####.cc
- log.sn####.com
- m####.go####.com
- s22.c####.com
- sdk-ope####.g####.com
- sdk.c####.g####.com
- sdk.o####.p####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
- sf3-fe####.pglstat####.com
- sf3-ttc####.ps####.com
- st####.l####.cc
- www.google####.com
- www.paypalo####.com
- z1.c####.com
Запросы HTTP GET:
- c.c####.com/z_stat.php?id=####
- cdn-sdk####.g####.com.####.com/tdata_RBO669
- cdn-sdk####.g####.com.####.com/tdata_cpZ817
- cdn-sdk####.g####.com.####.com/tdata_uxr091
- d####.c####.l####.####.com/config/hzv9.conf
- downlo####.ks.5####.####.com//downs/hotfix/003/dl/1595224200165/15952231...
- downlo####.ks.5####.####.com/downs/hotfix/003/dl/1595224200165/159522311...
- dub.s####.pa####.com:443/counter.cgi?p=####&i=####&t=####&a=####
- dub.s####.pa####.com:443/counter2.cgi?p=####&i=####&t=####&a=####
- h5.ikuai####.com/
- h5.ikuai####.com/static/css/app.6d5b976856c78018438ebf16d3dd498c.css
- h5.ikuai####.com/static/js/app.407bc2819734a12d1e43.js
- h5.ikuai####.com/static/js/manifest.619a91f2414164c9cca8.js
- h5.ikuai####.com/static/js/vendor.7fbe54df3fb9a22843bb.js
- l####.b####.com/jquery/2.0.0/jquery.min.js
- log.sn####.com.####.com/jssdk/aisdk_m.js
- log.sn####.com.####.com:443/obj/ad-pattern/renderer/704054/index.js
- log.sn####.com.####.com:443/obj/ad-pattern/renderer/package.json
- ppo.glb.pa####.com:443/webstatic/risk/dyson_config_android_v3.json
- sdk.o####.p####.####.com/api/addr.htm
- z.c####.com/stat.htm?id=1273494850&r=&lg=en-us&ntime=1642084235&cnzz_eid...
- z.c####.com/stat.htm?id=1273494850&r=&lg=en-us&ntime=none&cnzz_eid=69698...
Запросы HTTP POST:
- c-h####.g####.com/api.php?format=####&t=####
- is.sn####.com.####.net:443/api/ad/union/sdk/settings/
- l####.cc/i/sdk/install
- l####.cc/i/sdk/open
- log.sn####.com.####.com/service/2/app_log_exception/?os_api=####&device_...
- sdk.o####.p####.####.com/api.php?format=####&t=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/-5998622401067643521
- /data/data/####/1642084364429
- /data/data/####/1642084385166
- /data/data/####/1fc15dff605b50f2_0
- /data/data/####/28915d4ce8bb0913_0
- /data/data/####/2faf22a64e6d60e7_0
- /data/data/####/35a92894252ab109_0
- /data/data/####/35a92894252ab109_0 (deleted)
- /data/data/####/591304b132f5d4a8_0
- /data/data/####/64dbd5887b65726c_0
- /data/data/####/655d779002e44097_0
- /data/data/####/84794f1adf3c3172_0
- /data/data/####/84794f1adf3c3172_1
- /data/data/####/8f39399ad343ae89_0 (deleted)
- /data/data/####/AndroidBasePrefs.xml
- /data/data/####/CONFIG_DATA
- /data/data/####/CONFIG_TIME
- /data/data/####/Cookies-journal
- /data/data/####/Flvcat.dex
- /data/data/####/Flvcat.dex.flock (deleted)
- /data/data/####/Flvcat.jar
- /data/data/####/LKME_Server_Request_Queue.xml
- /data/data/####/WebViewChromiumPrefs.xml
- /data/data/####/a2e381d84bb04888_0
- /data/data/####/ad_data.config.xml
- /data/data/####/c72cb79ab9bb2623_0
- /data/data/####/c72cb79ab9bb2623_1
- /data/data/####/ceb93d4b33756349_0
- /data/data/####/cee186bb67afea5c_0
- /data/data/####/cee186bb67afea5c_1
- /data/data/####/channelListCache.json
- /data/data/####/com.kandian.hdtogoapp_preferences.xml
- /data/data/####/core.config.xml
- /data/data/####/d4018daa8f0136b5_0
- /data/data/####/downloader.db-journal
- /data/data/####/eac9eba6b826944a_0
- /data/data/####/eaf4864be16bf57e_0
- /data/data/####/gemini-mudownload.db-journal
- /data/data/####/geofencing.db
- /data/data/####/geofencing.db-journal
- /data/data/####/getui_sp.xml
- /data/data/####/gkt-journal
- /data/data/####/ijm_ifr.xml
- /data/data/####/ijm_sharedecryption.xml
- /data/data/####/index
- /data/data/####/init.pid
- /data/data/####/init_c1.pid
- /data/data/####/libexec.so
- /data/data/####/libijmDataEncryption.so
- /data/data/####/linkedme_referral_shared_pref.xml
- /data/data/####/linkedme_referral_shared_pref.xml.bak
- /data/data/####/linkedme_referral_shared_pref.xml.bak (deleted)
- /data/data/####/metrics_guid
- /data/data/####/mipush.xml
- /data/data/####/mipush_extra.xml
- /data/data/####/noticeSwitchSetting
- /data/data/####/proc_auxv
- /data/data/####/push.pid
- /data/data/####/pushext.db-journal
- /data/data/####/pushg.db-journal
- /data/data/####/pushsdk.db-journal
- /data/data/####/rocoo.dex
- /data/data/####/rocoo.dex.flock (deleted)
- /data/data/####/run.pid
- /data/data/####/script.spp
- /data/data/####/tdata_RBO669
- /data/data/####/tdata_RBO669.dex
- /data/data/####/tdata_RBO669.dex.flock (deleted)
- /data/data/####/tdata_RBO669.jar
- /data/data/####/tdata_cpZ817
- /data/data/####/tdata_cpZ817.dex
- /data/data/####/tdata_cpZ817.dex.flock (deleted)
- /data/data/####/tdata_cpZ817.jar
- /data/data/####/tdata_uxr091
- /data/data/####/tdata_uxr091.dex
- /data/data/####/tdata_uxr091.dex.flock (deleted)
- /data/data/####/tdata_uxr091.jar
- /data/data/####/temp-index
- /data/data/####/the-real-index
- /data/data/####/tiny_data.data
- /data/data/####/tiny_data.lock
- /data/data/####/tt_sdk_settings.xml
- /data/data/####/ttopenadsdk.xml
- /data/data/####/ttopenadsdk.xml.bak
- /data/data/####/ttopensdk.db-journal
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_common_config.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_general_config.xml.bak (deleted)
- /data/data/####/user_info.json
Другие:
Запускает следующие shell-скрипты:
- cat /sys/class/net/wlan0/address
- getprop ro.build.version.emui
- getprop ro.letv.release.version
- getprop ro.product.cpu.abi
- getprop ro.vivo.os.build.display.id
- sh -c cat /proc/3433/wchan
- sh -c cat /proc/3615/wchan
- sh -c cat /proc/3706/wchan
- sh -c cat /proc/3993/wchan
- sh -c cat /proc/4019/wchan
- sh -c cat /proc/4306/wchan
- sh -c cat /proc/4661/wchan
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS5Padding
- RSA-ECB-PKCS1Padding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS5Padding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
Запрашивает разрешение на отображение системных уведомлений.
