Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(HTTP/1.1) www.w####.com:80
- TCP(HTTP/1.1) s####.e.qq.com:80
- TCP(HTTP/1.1) a####.u####.com.####.com:80
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(HTTP/1.1) luna-im####.qq.com.####.com:80
- TCP(TLS/1.0) api-ac####.pangoli####.com.####.com:443
- TCP(TLS/1.0) w####.xi####.com:443
- TCP(TLS/1.0) www.w####.com:443
- TCP(TLS/1.0) securit####.sp####.mig.####.net:443
- TCP(TLS/1.0) l####.tbs.qq.com:443
- TCP(TLS/1.0) cfg.i####.qq.com:443
- TCP(TLS/1.0) p####.google####.com:443
- TCP(TLS/1.0) tbsreco####.i####.qq.com:443
- TCP(TLS/1.0) and####.google####.com:443
- TCP(TLS/1.0) s####.e.qq.com:443
- TCP(TLS/1.0) android####.go####.com:443
- TCP(TLS/1.0) connect####.gst####.com:443
- TCP(TLS/1.0) 1####.250.179.202:443
- TCP(TLS/1.0) 1####.250.179.174:443
- TCP(TLS/1.2) connect####.gst####.com:443
- TCP(TLS/1.2) inte####.faceu####.com:6443
- TCP(TLS/1.2) android####.go####.com:443
- TCP(TLS/1.2) 1####.250.179.202:443
- TCP api-ac####.pangoli####.com.####.com:443
Запросы DNS:
- a####.u####.com
- and####.b####.qq.com
- and####.google####.com
- android####.go####.com
- api-ac####.pangoli####.com
- cfg.i####.qq.com
- connect####.gst####.com
- dm.tou####.com
- dn####.d####.com
- down####.w####.com
- imgc####.qq.com
- inte####.faceu####.com
- l####.tbs.qq.com
- m####.go####.com
- p####.google####.com
- pang####.sn####.com
- s####.e.qq.com
- sf3-fe####.pglstat####.com
- sf3-ttc####.ps####.com
- t####.m.qq.com
- tbsreco####.i####.qq.com
- to####.ctobsn####.com
- w####.xi####.com
- www.w####.com
- xiu.xi####.com
Запросы HTTP GET:
- api-ac####.pangoli####.com.####.com:443/service/2/app_alert_check/?aid=#...
- luna-im####.qq.com.####.com/qzone/biz/gdt/mod/android/AndroidAllInOne/pr...
- w####.xi####.com:443/vshow/streamname?get_url=####
- www.w####.com/activities/caidan/ip13/xxh1068x344.jpg
- www.w####.com/ad/lelefan6/xxh.png
- www.w####.com/faxian/shouchongxxh.jpg
- www.w####.com/xiu/kanshipindeyangguang/xxh1068x344.jpg
- www.w####.com:443/upload/xiu/13/5/sjzl2996943222_3_550x550_200712032340....
- www.w####.com:443/upload/xiu/15/11/zzhqsb56_3_550x550_201108174403.jpg
- www.w####.com:443/upload/xiu/18/69/sj-ntbpimqffd_3_550x550_210520035151....
- www.w####.com:443/upload/xiu/3/76/wx-yhvathaiqo_3_550x550_220218104849.jpg
- www.w####.com:443/upload/xiu/34/28/wangxinxin638_3_550x550_211223003507....
- www.w####.com:443/upload/xiu/36/29/wx-lndlhyhqla_3_550x550_210310222623....
- www.w####.com:443/upload/xiu/40/22/xfx0701_3_550x550_210910220029.jpg
- www.w####.com:443/upload/xiu/46/0/sj-sxzisduryq_3_550x550_211229182400.jpg
- www.w####.com:443/upload/xiu/46/42/bhc31203_3_550x550_191209172707.jpg
- www.w####.com:443/upload/xiu/47/45/sj-borzfckulk_3_550x550_210913224157....
- www.w####.com:443/upload/xiu/50/17/ysrs5201314_3_550x550_211118104118.jpg
- www.w####.com:443/upload/xiu/52/50/qq-acjpltzchp_3_550x550_191101230326....
- www.w####.com:443/upload/xiu/53/4/wx-fhycyudywn_3_550x550_211116014555.jpg
- www.w####.com:443/upload/xiu/61/78/qq-sgwkgzifjg_3_550x550_200410000940....
- www.w####.com:443/upload/xiu/66/15/qq-rjutvwikaq_3_550x550_210408203425....
- www.w####.com:443/upload/xiu/70/58/tgvqaz1_3_550x550_200927210006.jpg
- www.w####.com:443/upload/xiu/75/9/qq-ijrlnnwcdu_3_550x550_220120004824.jpg
- www.w####.com:443/upload/xiu/79/34/zzhqsb60_3_550x550_201108231504.jpg
- www.w####.com:443/upload/xiu/8/86/wx-yfxsdrrecd_3_550x550_210425211225.jpg
- www.w####.com:443/upload/xiu/85/71/sj-gnszxgsixz_3_550x550_220104005256....
- www.w####.com:443/upload/xiu/88/97/tgvqaz4_3_550x550_200927210241.jpg
- www.w####.com:443/upload/xiu/92/4/zzzz1249915975_3_550x550_200218140625....
- www.w####.com:443/upload/xiu/96/57/wx-xgexsnmlab_3_550x550_220101180559....
Запросы HTTP POST:
- a####.u####.com.####.com/app_logs
- and####.b####.qq.com/rqd/async
- api-ac####.pangoli####.com.####.com:443/service/2/app_log/?device_platfo...
- api-ac####.pangoli####.com.####.com:443/service/2/device_register_only/?...
- api-ac####.pangoli####.com.####.com:443/service/2/log_settings/?device_p...
- cfg.i####.qq.com:443/tbs?v=####&mk=####
- l####.tbs.qq.com:443/ajax?c=####&k=####
- s####.e.qq.com/activate
- s####.e.qq.com/launch
- s####.e.qq.com:443/event
- securit####.sp####.mig.####.net:443/?mc=####
- tbsreco####.i####.qq.com:443/getconfig
- www.w####.com:443/index.php?action=####&do=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/anr/traces.txt
- /data/anr/traces.txt (deleted)
- /data/data/####/-1025052814979690616
- /data/data/####/-1135038580-754662270
- /data/data/####/-1561220934775701699
- /data/data/####/.bak
- /data/data/####/.cl
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/.turing.dat
- /data/data/####/04295cc28c31ac1ffa54aed64782842fc6b0a2b9290d5c3...e160.0
- /data/data/####/0965f4201c00c669746da5c9279eb2cf774f8ea2ccb83b0...e308.0
- /data/data/####/0f949d1b4ff12190775256f36ece3a62a6b0f4df4ab3f54....0.tmp
- /data/data/####/1861c850222517f295d0d1fe25ca7baacc80a9e69d343c3...9dda.0
- /data/data/####/23801e9069d8b145dc8734e75c685280ab375f338d31d73....0.tmp
- /data/data/####/2c1e92d73b7b5e3fe2a253f4d8af654f2c070ce3dc45b3c....0.tmp
- /data/data/####/3109910c173b4d9c52e1e84b0170117a76a4ea365f1cbc1....0.tmp
- /data/data/####/3322.yaqcookie
- /data/data/####/341609ce6f66d5da59bf3e37014d38d169436dc52f58c19....0.tmp
- /data/data/####/3505.yaqcookie
- /data/data/####/3768.yaqcookie
- /data/data/####/3c734150d245620787355a9bf3078e2022f7fd558e50c24...ccea.0
- /data/data/####/3c8e4184e83a56b3ad24bcd4e32a357418250b86833a304....0.tmp
- /data/data/####/3e02d8114dc5988ca043243502c865ad9d850e80f23fcd3....0.tmp
- /data/data/####/3ead8d0a798cf56e6f61f10ae1795912abf7f381b2940f7...6f8d.0
- /data/data/####/45c9e867a91906eb37d3c6f087721d6ca8d2005bf5429d0....0.tmp
- /data/data/####/5201662990973c510b49eca5035785e94a5c747de4275bd....0.tmp
- /data/data/####/56d90e3b93f3ee9907064d1ff9d16f669c688488a701c1c...7942.0
- /data/data/####/5c863ca97680306572fcb4cbb3e66440e8ab082d8a22b4e....0.tmp
- /data/data/####/600e870ff1d8187e5e830e41c111cd87c2816af8337d472....0.tmp
- /data/data/####/60bd901a48793bcf1a962c572fe867c293d7b4becfc5fe7....0.tmp
- /data/data/####/65ca623dcce65710566c4da4883123808518f2d4231ff35....0.tmp
- /data/data/####/667fadfd41c7bf46003086d8ddc515bb1777ed2bce950f3....0.tmp
- /data/data/####/6b2f68b7e0bdd99a430382b7b97d84b2c1744968c39648d...b60b.0
- /data/data/####/6fb78217f8593e88e704608f6c2240871b89ea7dd89ed63....0.tmp
- /data/data/####/77bea26aed70e453934d731026442b549df6f39f4da053d....0.tmp
- /data/data/####/8141288ab31ee4c1a04fac3f85a99abedca359e36da1e89....0.tmp
- /data/data/####/8b652cb8fc636f032336ee16b52902407f32d45b1a661d8....0.tmp
- /data/data/####/8f798d35a44c22c26ce9074934a099dc5ad6af944968955....0.tmp
- /data/data/####/907653126a69558dbb76f088b59df148bc0cae8a8994c46....0.tmp
- /data/data/####/93ffe094bb78b8dc401c4441b9498bbb6ae0647dbca413e....0.tmp
- /data/data/####/BuglySdkInfos.xml
- /data/data/####/TrineaAndroidCommon.xml
- /data/data/####/WebViewChromiumPrefs.xml
- /data/data/####/a5edd161a9b3fdd8f8a088183d138946884b8144d3df8e7....0.tmp
- /data/data/####/a76230a611503c1d231ef64fc279d01c7ef5df62c9b2722...823f.0
- /data/data/####/aa96e5e5dc17c31cbf7620c6686b31ee79c08bd83595d02....0.tmp
- /data/data/####/abce5f3aa8e1a23ea783e954c4bb6944eeabd17f61d0710....0.tmp
- /data/data/####/abde8426c5330be62218b0aa53dae84060b11578d46d6a6....0.tmp
- /data/data/####/b179a033711dfa1478e980ec87c8cfc31d96bf2dd28c2ad...faf8.0
- /data/data/####/b6f5714f9df0a163716c15071c75596c5a4cf6f18b61c33...f3c7.0
- /data/data/####/bc85292e38dcd47a6472831a4d1dd530fab413f74cd8b7e....0.tmp
- /data/data/####/bc8ce914675054aa97d76df4df21fbdc0652f7313ae7671....0.tmp
- /data/data/####/bca070df92d24de3e5438ccf442c8fede813cfb2eb61ce1...478c.0
- /data/data/####/bd_embed_tea_agent.db
- /data/data/####/bd_embed_tea_agent.db-journal
- /data/data/####/bd_embed_tea_agent.db-journal (deleted)
- /data/data/####/bugly_db_
- /data/data/####/bugly_db_-journal
- /data/data/####/c0629da7eb53db0c05d7489c47ea0a33fd44617159d6ade....0.tmp
- /data/data/####/c2c5e0a2f5217f1a02d05442eaa04ed2f2d780d1eddbc01....0.tmp
- /data/data/####/c4a5cf74e5d4039e9d58e9d85745757195332d1c726e16a....0.tmp
- /data/data/####/c579f2aefdfc533b3b57636f73bd14b60ef6c11d0cd74da....0.tmp
- /data/data/####/c8050770edc181c87e2d51d18f5447af3033ffd33024698....0.tmp
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/cc8fc4fbf75a85ff6f216d7bb656ed2959371866484ab5b....0.tmp
- /data/data/####/cca0aeb23a8eb44aed358453f04bcd7ac16f6cfb6c68f23...2980.0
- /data/data/####/cf60b499491a99f5097c00626d6cb2a11a037b3883b78ea....0.tmp
- /data/data/####/classes.dex
- /data/data/####/classes.dex;classes2.dex
- /data/data/####/classes.dex;classes3.dex
- /data/data/####/com.wole56.ishow_preferences.xml
- /data/data/####/core_info
- /data/data/####/de746731313e5a9cb5f2cf8bb2b6cb08421580dc077b46a....0.tmp
- /data/data/####/devCloudSetting.cfg
- /data/data/####/devCloudSetting.sig
- /data/data/####/download_upload
- /data/data/####/downloader.db
- /data/data/####/downloader.db-journal
- /data/data/####/e5199330b418a60e334c2513bc9a752a05087d25b22f5e5....0.tmp
- /data/data/####/e9e5fc75d9514123a2266668946d3092a43d5f2b786817c....0.tmp
- /data/data/####/ea843b0d7e57c8b0ec9b0225de01de63cd36af1b328043b....0.tmp
- /data/data/####/ebf71b849c6e03c89a64f1eb60e44020e8926988d094aad....0.tmp
- /data/data/####/ef759152e068d43df1f9f32fd5a722c0a61aeadc8c98209....0.tmp
- /data/data/####/embed_applog_stats.xml
- /data/data/####/embed_header_custom.xml
- /data/data/####/embed_last_sp_session.xml
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/f09b04b78cd84176dc20f4bd1eca9d1d73b3eba06883bdd....0.tmp
- /data/data/####/f3431eb9853664991e370b815931166169cd74c21f032f8...5738.0
- /data/data/####/f561f28326e6c36596dbb1661974868c518c11cf5791d9d....0.tmp
- /data/data/####/f917e2fdb8da0321367386bcc345ce7b0c1607dfcb12eb4....0.tmp
- /data/data/####/fc945221fcf9f07afc4c83cf928d4ec1e89ad3d799221b1....0.tmp
- /data/data/####/fd747a9c1fb6dd2fc5c8d6303559dd52ac2b7e7df99f817....0.tmp
- /data/data/####/gdt_config.cfg
- /data/data/####/gdt_plugin.dex
- /data/data/####/gdt_plugin.dex.flock (deleted)
- /data/data/####/gdt_plugin.jar
- /data/data/####/gdt_plugin.jar.sig
- /data/data/####/gdt_plugin.tmp
- /data/data/####/gdt_plugin.tmp.sig
- /data/data/####/gdt_stat.db
- /data/data/####/gdt_stat.db-journal
- /data/data/####/gdt_suid
- /data/data/####/journal.tmp
- /data/data/####/libMMANDKSignature.1023711b.so
- /data/data/####/libjiagu.so
- /data/data/####/libturingau.1023711b.so
- /data/data/####/libyaqbasic.1023711b.so
- /data/data/####/libyaqpro.1023711b.so
- /data/data/####/local_crash_lock
- /data/data/####/metrics_guid
- /data/data/####/mpdc_105498_1
- /data/data/####/native_record_lock
- /data/data/####/npth.xml
- /data/data/####/npth_log.db-journal
- /data/data/####/prefs.lock
- /data/data/####/proc_auxv
- /data/data/####/sdkCloudSetting.cfg
- /data/data/####/sdkCloudSetting.sig
- /data/data/####/security_info
- /data/data/####/snssdk_openudid.xml
- /data/data/####/sp_multi_ttadnet_config.xml
- /data/data/####/sp_push_time.xml
- /data/data/####/ss_app_config.xml
- /data/data/####/tbs_download_config.xml
- /data/data/####/tbs_download_stat.xml
- /data/data/####/tbs_emergence.xml
- /data/data/####/tbs_pv_config
- /data/data/####/tbscoreinstall.txt
- /data/data/####/tbslock.txt
- /data/data/####/tt_sdk_settings.xml
- /data/data/####/tt_sdk_settings.xml (deleted)
- /data/data/####/ttnet_tnc_config.xml
- /data/data/####/ttopenadsdk.xml
- /data/data/####/ttopenadsdk.xml (deleted)
- /data/data/####/ttopensdk.db-journal
- /data/data/####/turingfd_conf_105498_auMini.xml
- /data/data/####/turingfd_protect_105498_41_auMini.xml
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/ua.db-journal (deleted)
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/update_lc
- /data/data/####/yaq.1023711b.sec
- /data/data/####/yaq2.1023711b.sec
- /data/data/####/yaq3_0.1023711b.sec
- /data/data/####/yaqsdkcookie
Другие:
Запускает следующие shell-скрипты:
- /system/bin/df
- /system/bin/getprop
- /system/bin/sh -c type su
- app_process /system/bin com.android.commands.pm.Pm list package -3
- chmod 777 /data/user/0/<Package>/cache/Download
- getprop androVM.vbox_dpi
- getprop gsm.sim.state
- getprop gsm.sim.state2
- getprop qemu.sf.fake_camera
- getprop ro.aa.romver
- getprop ro.board.platform
- getprop ro.build.fingerprint
- getprop ro.build.nubia.rom.name
- getprop ro.build.rom.id
- getprop ro.build.tyd.kbstyle_version
- getprop ro.build.version.emui
- getprop ro.build.version.opporom
- getprop ro.debuggable
- getprop ro.genymotion.version
- getprop ro.gn.gnromvernumber
- getprop ro.lenovo.series
- getprop ro.lewa.version
- getprop ro.meizu.product.model
- getprop ro.miui.ui.version.name
- getprop ro.secure
- getprop ro.vivo.os.build.display.id
- logcat -d -v threadtime
- logcat -v time -d
- sh
Загружает динамические библиотеки:
- libBugly
- libMMANDKSignature.1023711b
- libjiagu
- libnama
- libnms
- libtobEmbedEncrypt
- libturingau.1023711b
- libyaqbasic.1023711b
- libyaqpro.1023711b
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS5Padding
- AES-ECB-PKCS7Padding
- AES-GCM-NoPadding
- DESede-ECB-PKCS5Padding
- RSA-ECB-NoPadding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS5Padding
- AES-ECB-PKCS7Padding
- AES-GCM-NoPadding
- DESede-ECB-PKCS5Padding
- RSA-ECB-PKCS1Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Отрисовывает собственные окна поверх других приложений.
Запрашивает разрешение на отображение системных уведомлений.
