Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(TLS/1.0) 1####.217.18.35:443
- TCP(TLS/1.0) api.map.b####.com:443
- TCP(TLS/1.0) m.lu-####.cn:443
- TCP(TLS/1.0) and####.google####.com:443
- TCP(TLS/1.0) 1####.250.203.234:443
- TCP(TLS/1.0) 1####.217.21.10:443
- TCP(TLS/1.0) api.face####.com:443
- TCP(TLS/1.0) md####.google####.com:443
- TCP(TLS/1.0) m####.lu-####.cn:443
- TCP(TLS/1.2) 1####.251.37.46:443
- TCP(TLS/1.2) 1####.250.201.3:443
- TCP(TLS/1.2) 1####.250.203.234:443
- TCP(TLS/1.2) 1####.217.21.10:443
- TCP(TLS/1.2) 1####.250.200.206:443
Запросы DNS:
- and####.google####.com
- api.map.b####.com
- cont####.lu-####.cn
- cont####.lu-####.cn.####.8
- g####.face####.com
- m####.lu-####.cn
- m####.lu-####.cn.####.8
- m.lu-####.cn
- md####.google####.com
- sett####.crashly####.com
- sett####.crashly####.com.####.8
Запросы HTTP GET:
- api.face####.com:443/v3.0/197513131073465?fields=####&format=####&sdk=####
- m.lu-####.cn:443/m-intl/service/public/config/get-common-config?param=##...
- m.lu-####.cn:443/m-intl/service/public/config/landing-page-config?param=...
- m.lu-####.cn:443/m-intl/service/public/hybrid/get-pack-info?param=####&_...
- m.lu-####.cn:443/m-intl/service/public/version/get-hotfix-info?param=###...
- m.lu-####.cn:443/wmc-m/service/public/config/get-common-config?param=###...
- m.lu-####.cn:443/wmc-m/service/public/config/landing-page-config?param=#...
- m.lu-####.cn:443/wmc-m/service/public/hybrid/get-pack-info?param=####&_1...
- m.lu-####.cn:443/wmc-m/service/public/hybrid/get-pack-info?param=####&_4...
- m.lu-####.cn:443/wmc-m/service/public/locale/get-app-locale-space-resour...
- m.lu-####.cn:443/wmc-m/service/public/version/get-hotfix-info?param=####...
Запросы HTTP POST:
- api.face####.com:443/v3.0/197513131073465/activities
- m.lu-####.cn:443/m-intl/service/public/locale/get-app-locale-space-resou...
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.xml
- /data/data/####/033c1a7430f2c52e67b0f58d9524bfa2.lu.eot
- /data/data/####/0503e7d7ed104cb2eb03818e50284f04.lu.png
- /data/data/####/0b3b3342c15d15796a27ac38968f425f.lu.woff
- /data/data/####/0b6f53ee7d54c1e71fb0aadfa7d77025.lu.svg
- /data/data/####/0d06f7630df5d7a8d885737d6f5a9e02.lu.woff
- /data/data/####/0ec1d7aad44a39b1736dc39e60b8aa46.lu.ttf
- /data/data/####/0ef585ec9e99553cb618662b449e9e20.lu.svg
- /data/data/####/1bbfab00552070709417dc589a1f1e31.lu.png
- /data/data/####/1da5063017b74b7b570e0f588e254320.lu.eot
- /data/data/####/1e4979934b8893595b9ca53bc098ee78.lu.png
- /data/data/####/1fc319274810277a4a95077a74ef6e3b.lu.svg
- /data/data/####/22f352689fc1496464c7bb7f94664394.lu.svg
- /data/data/####/27140c126b02bcd9ecbf228d14e0ca82.lu.png
- /data/data/####/288c7c40adb196eb39b526936086bd00.lu.ttf
- /data/data/####/2f32d3a793f780147e92d9e67f7ba8b5.lu.ttf
- /data/data/####/35f522198aae81efa455d0bea1260728.lu.svg
- /data/data/####/381d42c29f0438657b8fb49bc86d7c9c.lu.svg
- /data/data/####/3a664f028d59d8a3fd378c3386e94cfe.lu.svg
- /data/data/####/457380cd4253d93c319ff238a165c025.lu.png
- /data/data/####/4d639f20a4662c6fe50644653674603d.lu.woff
- /data/data/####/4ec3a9c6ae0e0d85272bd84c4ee5dfbd.lu.png
- /data/data/####/53340cf2f876ff8e2046206f3331a745.lu.woff
- /data/data/####/58153db54a305a2f3f8f84fd5bd65380.lu.png
- /data/data/####/5d1edbae3e9272e57742ae943e9aa396.lu.png
- /data/data/####/5dbef8477442d7a8ec6e3406df9ea522.lu.png
- /data/data/####/5e2f2f766132064e3ef72c627fd3934f.lu.woff
- /data/data/####/5fde2fce6269f5a6689429b285353ff6.lu.png
- /data/data/####/61FF5E7D02E5-0001-0DEA-BF6116125D9ABeginSession.cls
- /data/data/####/61FF5E7D02E5-0001-0DEA-BF6116125D9ASessionApp.cls
- /data/data/####/61FF5E7D02E5-0001-0DEA-BF6116125D9ASessionDevice.cls
- /data/data/####/61FF5E7D02E5-0001-0DEA-BF6116125D9ASessionOS.cls
- /data/data/####/62f1c9d35279c273eae059fdb76fb5c6.lu.svg
- /data/data/####/63418ec2f0b1b301262265ec7686ced3.lu.png
- /data/data/####/667117e7afa2278707ecd7ff01e6cacb.lu.png
- /data/data/####/67bc6c487646706c6941f50e71210d9b.lu.png
- /data/data/####/6bada23bc4ddaa28cdba1df2ddc6ff11.lu.png
- /data/data/####/72128c5016dc07d51f66142b907e5912.lu.png
- /data/data/####/74bf2a68dfe54b834ce40c57c4a19b67.lu.woff
- /data/data/####/74c770848398239dcf0dd9c0c7cc4946.lu.png
- /data/data/####/768e0ccf98bbd3a680a9bf63050fd22b.lu.png
- /data/data/####/78668d1f2ac65f0b63177ce0e8ab9664.lu.ttf
- /data/data/####/79dea25847ee386e8a2ea26c2fa129a3.lu.png
- /data/data/####/7bf3f40c1d44bba03bea2e9ffea7290f.lu.png
- /data/data/####/8b787339662cdc6f5b3e8555bb5bb6cb.lu.svg
- /data/data/####/8bf7cf81922b823d600a1918e7e71530.lu.svg
- /data/data/####/8c0c6a70f57c639382ba597e3b3cbbde.lu.ttf
- /data/data/####/8dc6c4c5696a5ad51fb0b30fae488224.lu.svg
- /data/data/####/9155dbda52aa29b0afd036179ebf4f2d.lu.png
- /data/data/####/951561963e153de7ab72f86abd51203e.lu.ttf
- /data/data/####/98194c9db5cabb5a6ca24eb6c6cefcea.lu.svg
- /data/data/####/986dc91b98e3355c683d4494a2c6ebd6.lu.svg
- /data/data/####/991e1b9078b269e952d635c32db69907.lu.png
- /data/data/####/9a39f8668feaa6a53f563aaf27795e82.lu.png
- /data/data/####/AppEventsLogger.persistedevents
- /data/data/####/AppEventsLogger.persistedevents (deleted)
- /data/data/####/BRANCH
- /data/data/####/COMMITHASH
- /data/data/####/Cookies-journal
- /data/data/####/TwitterAdvertisingInfoPreferences.xml
- /data/data/####/VERSION
- /data/data/####/WebViewChromiumPrefs.xml
- /data/data/####/a1d90505ad1022cf0e22a081f3c102a7.lu.png
- /data/data/####/account.css
- /data/data/####/account.js
- /data/data/####/ae0d1a528e8c6811b81ee2e5556f9b3e.lu.png
- /data/data/####/agreement.css
- /data/data/####/agreement.js
- /data/data/####/authStatus_com.luglobal.android;remote.xml
- /data/data/####/b172a26edb1505a0274a11b395309c86.lu.png
- /data/data/####/b55aaae8805a5398385a956c7dd2f6c5.lu.png
- /data/data/####/bb09cf7c1d5bd6cb843f01e52bb2a50f.lu.png
- /data/data/####/bd738271d0ddd175a6a8177963ef23d9.lu.eot
- /data/data/####/bf8b983756f5ecd4cc4140176c3efafc.lu.png
- /data/data/####/bluebird.min.js
- /data/data/####/c02c69069203bd49fb05111170fdd430.lu.png
- /data/data/####/c21e5b254dccb157a87668efc8770c17.lu.png
- /data/data/####/c62e937887b79f7c4b655e9d90e8615f.lu.png
- /data/data/####/c806bb7d16f49581e3cdfca2e0132175.lu.png
- /data/data/####/cd188fd54e43b270bd9443b74cb960ba.lu.png
- /data/data/####/com.crashlytics.prefs.xml
- /data/data/####/com.crashlytics.sdk.android.crashlytics-core;co...re.xml
- /data/data/####/com.crashlytics.sdk.android;answers;settings.xml
- /data/data/####/com.facebook.internal.preferences.APP_SETTINGS.xml
- /data/data/####/com.facebook.sdk.appEventPreferences.xml
- /data/data/####/com.facebook.sdk.attributionTracking.xml
- /data/data/####/com.google.android.gms.analytics.prefs.xml
- /data/data/####/com.luglobal.android_preferences.xml
- /data/data/####/com.luglobal.android_preferences.xml.bak
- /data/data/####/common.css
- /data/data/####/common.db-journal
- /data/data/####/common.js
- /data/data/####/d6fb68462b571aa7046486fcde662531.lu.png
- /data/data/####/d94ac33f07298fcb5251838320746975.lu.eot
- /data/data/####/daf47cf5777bbfb026f64f5aec5f34cf.lu.eot
- /data/data/####/data.json
- /data/data/####/demo.htm
- /data/data/####/demo.html
- /data/data/####/deposit.css
- /data/data/####/deposit.js
- /data/data/####/df61cec7c6bfc256a9de0909781a71b3.lu.png
- /data/data/####/doc.css
- /data/data/####/doc.js
- /data/data/####/download.css
- /data/data/####/download.js
- /data/data/####/e50868987bc64af40c591a852878cfa8.lu.svg
- /data/data/####/e70478fb18fd2ca402e34e3e2d7145b1.lu.svg
- /data/data/####/e868eab48d80d8d59a881554335dabaa.lu.png
- /data/data/####/e879d5e28388a91e331d1be38bb05a63.lu.png
- /data/data/####/error.css
- /data/data/####/error.js
- /data/data/####/f1afba5371b8310fc38551dd79e28fb3.lu.png
- /data/data/####/f912e545408ff25f4d59a0c36d3d2a10.lu.svg
- /data/data/####/fcb84da53546601f95212eb98bf31f07.lu.eot
- /data/data/####/fund.css
- /data/data/####/fund.js
- /data/data/####/fuse.min.js
- /data/data/####/gal.db
- /data/data/####/gal.db-journal
- /data/data/####/geofencing.db
- /data/data/####/geofencing.db-journal
- /data/data/####/google_analytics_v4.db-journal
- /data/data/####/hybrid.zip
- /data/data/####/id_auth.css
- /data/data/####/id_auth.js
- /data/data/####/img_0.png
- /data/data/####/img_1.png
- /data/data/####/img_10.png
- /data/data/####/img_11.png
- /data/data/####/img_2.png
- /data/data/####/img_3.png
- /data/data/####/img_4.png
- /data/data/####/img_5.png
- /data/data/####/img_6.png
- /data/data/####/img_7.png
- /data/data/####/img_8.png
- /data/data/####/img_9.png
- /data/data/####/index.html
- /data/data/####/initialization_marker
- /data/data/####/journal
- /data/data/####/jweixin-1.2.0.js
- /data/data/####/knowledge.css
- /data/data/####/knowledge.js
- /data/data/####/libcuid.so
- /data/data/####/libexec.so
- /data/data/####/libexecmain.so
- /data/data/####/libexecoat.so
- /data/data/####/lu.css
- /data/data/####/lufax.xml
- /data/data/####/lufaxAnalytics-journal
- /data/data/####/lufaxCatTrack.js
- /data/data/####/luintl_db-journal
- /data/data/####/mac.xml
- /data/data/####/mgm.css
- /data/data/####/mgm.js
- /data/data/####/mipush_extra.xml
- /data/data/####/native.js
- /data/data/####/news.css
- /data/data/####/news.js
- /data/data/####/pdf.js
- /data/data/####/pdf.worker.js
- /data/data/####/pk.p.lk
- /data/data/####/pk.t.lk
- /data/data/####/polyfill.js
- /data/data/####/polyfill.min.js
- /data/data/####/proc_auxv
- /data/data/####/products.css
- /data/data/####/products.js
- /data/data/####/react-dom.min.js
- /data/data/####/react.min.js
- /data/data/####/risk_verify.css
- /data/data/####/risk_verify.js
- /data/data/####/rollover.css
- /data/data/####/rollover.js
- /data/data/####/sa_5d1e3326-6da6-4f01-b823-a99d54af6353_1644125825212.tap
- /data/data/####/sa_f032cdc0-e7af-41c2-8466-9fb3ecbd6cd4_1644125824760.tap
- /data/data/####/session_analytics.tap
- /data/data/####/socket.io.js
- /data/data/####/statistic.js
- /data/data/####/trading.css
- /data/data/####/trading.js
- /data/data/####/vconsole.min.js
- /data/data/####/wechat.js
- /data/data/####/zepto.min.js
- /data/media/####/.cuid2
- /data/media/####/.nomedia
- /data/media/####/ls.db
- /data/media/####/ls.db-journal
Другие:
Запускает следующие shell-скрипты:
- getprop ro.product.cpu.abi
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- DES-ECB-PKCS7Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Отрисовывает собственные окна поверх других приложений.
Запрашивает разрешение на отображение системных уведомлений.
