Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Сетевая активность:
Подключается к:
- TCP(DNS) <Google DNS>
- UDP(DNS) 8####.8.4.4:53
- TCP(DNS) 8####.8.4.4:53
- TCP(HTTP/1.1) gd.a.s####.com:80
- TCP(HTTP/1.1) al####.u####.com:80
- TCP(HTTP/1.1) st####.dc####.net.cn:80
- TCP(HTTP/1.1) loc.map.b####.com:80
- TCP(HTTP/1.1) bj####.j####.cn:80
- TCP(HTTP/1.1) o####.map.b####.com:80
- TCP(TLS/1.0) qy-swa####.qi####.com:443
- TCP(TLS/1.0) plb####.u####.com:443
- TCP(TLS/1.0) t####.j####.cn:443
- TCP(TLS/1.0) nim.qi####.com:443
- TCP(TLS/1.0) and####.cli####.go####.com:443
- TCP(TLS/1.0) api.map.b####.com:443
- TCP(TLS/1.0) def####.cn.zb.####.com:443
- TCP(TLS/1.0) p####.google####.com:443
- TCP(TLS/1.0) al####.u####.com:443
- TCP(TLS/1.0) safebro####.google####.com:443
- TCP(TLS/1.0) lbs.net####.im:443
- TCP(TLS/1.0) h####.b####.com:443
- TCP(TLS/1.0) 1####.250.179.202:443
- TCP(TLS/1.0) dt.net####.im:443
- TCP(TLS/1.0) img.1####.com:443
- TCP(TLS/1.0) connect####.gst####.com:443
- TCP(TLS/1.2) 1####.250.179.202:443
- TCP(TLS/1.2) 1####.250.179.138:443
- TCP(TLS/1.2) connect####.gst####.com:443
- TCP(TLS/1.2) and####.cli####.go####.com:443
- TCP i####.j####.cn:7003
- TCP l####.net####.im:8080
- UDP 1####.121.49.100:19000
- TCP wmn.1####.com:443
- UDP 1####.229.215.60:19000
- UDP s.j####.cn:19000
- UDP 1####.196.118.23:19000
Запросы DNS:
- a####.u####.com
- and####.cli####.go####.com
- api.map.b####.com
- bj####.j####.cn
- connect####.gst####.com
- dt.net####.im
- easytom####.com
- h####.b####.com
- i####.j####.cn
- img.1####.com
- l####.net####.im
- lbs.net####.im
- loc.map.b####.com
- log.u####.com
- m####.go####.com
- nim.qi####.com
- o####.map.b####.com
- p####.google####.com
- pla####.googleu####.com
- plb####.u####.com
- pv.s####.com
- qy-swa####.qi####.com
- s####.j####.cn
- s.j####.cn
- safebro####.google####.com
- sis.j####.io
- st####.dc####.net.cn
- t####.j####.cn
- u####.u####.com
- wmn.1####.com
Запросы HTTP GET:
- bj####.j####.cn/v1/appawake/status?uid=####&appkey=####&manufacturer=###...
- def####.cn.zb.####.com:443/bar/get/55ac4cff67e58e29e10048c7/?pcv=####&de...
- dt.net####.im:443/api/getConfig
- gd.a.s####.com/cityjson?ie=####
- img.1####.com:443/14/2019/07/78781ab1b9234161a64b69eeb096ffe9.png
- img.1####.com:443/14/2019/07/7b2f8e9de1a44183bb07863483a0a3ef.png
- img.1####.com:443/14/2019/07/8129bb01fd0242ae9fe209f208a44ec6.png
- img.1####.com:443/14/2019/07/87284b12a43c4ad88d74764beac20cae.png
- img.1####.com:443/14/2020/07/016a48d38b434d5ab3d38cf8d8116086.png
- img.1####.com:443/14/2020/07/62efb32cf39c42d4b6369ebc2463a9be.png
- img.1####.com:443/14/2020/07/62fd7d0111d54be9ba130a44891fde51.png
- img.1####.com:443/14/2021/03/3b3bd6ccfb6149a58d8a985e4a847eac.jpg
- img.1####.com:443/14/2021/12/719af368165b48e8a2d53cc722eae826.png
- img.1####.com:443/14/2021/12/c944c1f9dd2140d9ae213ca81c8345a4.jpg
- img.1####.com:443/14/2021/12/e6fe3d58a98643eb90cdb34e875eb6f7.jpg
- img.1####.com:443/14/2022/01/65d7087fad454a979c3b4c42643837fa.jpg
- img.1####.com:443/14/2022/02/4598147229ac4522a8319c6201a66f5b.jpg
- img.1####.com:443/14/2022/02/68118a975f214742ad47ce2539feecf8.jpg
- img.1####.com:443/14/2022/02/8be8bf8d2c5f448f88bb5655e93f8d50.jpg
- img.1####.com:443/14/2022/02/af1dc5f3f7854bc9b6f5ea63b88e2b33.jpg
- img.1####.com:443/14/2022/02/dd3b3356d56543648a41048788750346.jpg
- img.1####.com:443/14/2022/02/e22168fdb51a4d1e8988573470e65fdf.jpg
- img.1####.com:443/14/2022/02/ec573b8c111a4d2fa833b2114f66ac5f.png
- img.1####.com:443/Product/m/2021/02/fae1efc2134e43a89bf49132eacb9652.jpg...
- img.1####.com:443/Product/m/2021/03/e55cc03a045b49919533c5a2bb3aeb1a.jpg...
- img.1####.com:443/Product/m/2021/06/39fb1c89eb1b41ed893ff7333641ca65.jpg...
- img.1####.com:443/Product/m/2021/06/b2fe906e0df649a8913d0a3cee124199.jpg...
- img.1####.com:443/Product/m/2021/10/e4a194754fa647e89948e57354294f2a.jpg...
- img.1####.com:443/Product/m/2021/12/279084f5021c49adb7bea23ccbd9d580.jpg...
- img.1####.com:443/Product/m/2021/12/9fda1a3c9bb34cb68c8702cae53b12f3.jpg...
- img.1####.com:443/Product/m/2021/12/da34ee0299844ea9bcabd563e6168d4e.jpg...
- img.1####.com:443/Product/m/2021/12/ebbf670e4b1d410bbac4b12f1e3a2363.jpg...
- img.1####.com:443/Product/m/2022/01/3a43e624d7d748da96a4c99f0786b199.jpg...
- img.1####.com:443/Product/m/2022/02/5b4938031ddc4fada8bc51c8c6c21ac1.jpg...
- img.1####.com:443/Product/m/2022/02/72408fea28bf4d6bac9b6662e6941536.jpg...
- nim.qi####.com:443/webapi/user/da/config?ak=####
Запросы HTTP POST:
- al####.u####.com/app_logs
- al####.u####.com:443/unify_logs
- h####.b####.com:443/app.gif
- loc.map.b####.com/sdk.php
- nim.qi####.com:443/webapi/user/create.action?deviceid=####&appkey=####
- o####.map.b####.com/offline_loc
- plb####.u####.com:443/umpx_internal
- st####.dc####.net.cn/device/location
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/0619e72644ffedc4eef55aa7539c5cdd43e73a188154c01...56e2.0
- /data/data/####/0924fcde0bf2f7aea6d6256fa42c452e112df8940c26e0d....0.tmp
- /data/data/####/0a342978-f1fe-4dce-b28a-7ecc1062a327
- /data/data/####/0b73f4d57dccb967281862989c0ca60c659cad3a6419b49....0.tmp
- /data/data/####/0c0b97a8e7cdbd5c18ce08fec3100e6332769ef4cf063bd....0.tmp
- /data/data/####/0c986c46428662e5b20720b1ef25386fb4f8f547687957e....0.tmp
- /data/data/####/1aad8c45-04ed-44ce-b3de-5666c779ce9e
- /data/data/####/24f7eda9c772b6eb89c7be78633aa0dc6f468a14ee11b28....0.tmp
- /data/data/####/250cfbc551f245972962895252bfbdb3b42814c278af153....0.tmp
- /data/data/####/29a779e611f63d5389a6ef1a0a701f460685b70656eb461....0.tmp
- /data/data/####/30daff2a5f03ec9c7808f5ac49537b9463651c4d0de71e8....0.tmp
- /data/data/####/32efab0449f36d3373ad4a3e8182799924ac851c849bed5....0.tmp
- /data/data/####/337474ecc54a93d9c862adab30b392cb1cca8cfeb90f2e9....0.tmp
- /data/data/####/361021f8afc8c739211f16307053adc3d25554cb4ac584e....0.tmp
- /data/data/####/3b539affd58e23490a3144b305f4d5ac008cb51d8ec1c3a....0.tmp
- /data/data/####/44e4b034b684963f94911d73b9c21fe07e822712dced062....0.tmp
- /data/data/####/4f048df52358b301fd9b14c84bb2a27cc38c8f061675739....0.tmp
- /data/data/####/51305550-866c-4a81-ae33-a4a1116da8bc
- /data/data/####/5e55b32d-86e3-4e99-8d8f-6faa7e6a0093
- /data/data/####/8c0bf718269e0e63fc269ccdb972b3b51dfd3008313e97b....0.tmp
- /data/data/####/8c38dfbc-8fb0-4593-ba88-1d8086997335
- /data/data/####/8db2454fa46e2f0bdde520c73c3053a690d4c62a469cc7c....0.tmp
- /data/data/####/9153dff5ec344975507c82913a78a829ee34654f2a6d925....0.tmp
- /data/data/####/9c24364a948fd707dd8b112c9d36d575a95b892dd54cd95....0.tmp
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/HelloH5.xml
- /data/data/####/JPushSA_Config.xml
- /data/data/####/NIMSDK_Config_600d23d5f06978a80d41f9d4cf3ae394.xml
- /data/data/####/NIMSDK_Config_600d23d5f06978a80d41f9d4cf3ae394_...85.xml
- /data/data/####/NYAPP.xml
- /data/data/####/TLS_DEVICE_INFO.xml
- /data/data/####/UM_PROBE_DATA.xml
- /data/data/####/Unicorn.600d23d5f06978a80d41f9d4cf3ae394.xml
- /data/data/####/Unicorn.600d23d5f06978a80d41f9d4cf3ae394.xml.bak
- /data/data/####/WebViewChromiumPrefs.xml
- /data/data/####/__Baidu_Stat_SDK_SendRem.xml
- /data/data/####/__local_ap_info_cache.json
- /data/data/####/__local_last_session.json
- /data/data/####/__local_stat_cache.json
- /data/data/####/__send_data_1645421063835
- /data/data/####/a7a312ba577a1bc9b21a3a7f6b231aa473979678e3890b6....0.tmp
- /data/data/####/appPackageNames_v2
- /data/data/####/authStatus_com.example.nyapp;remote.xml
- /data/data/####/b0614e763d993e828f99302ab178d85a8d099747d11da8a....0.tmp
- /data/data/####/baidu_mtj_sdk_record.xml
- /data/data/####/c086c857-b1b0-42a0-9004-cc40c2ae3053
- /data/data/####/c4ecac3e5b30191fcfdb82e5682ecff169a93757befef7c....0.tmp
- /data/data/####/cac737b3a8873e8f7e249d2616889013dc958fb208f203d....0.tmp
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/classes.dex
- /data/data/####/classes.dex;classes2.dex
- /data/data/####/classes.dex;classes3.dex
- /data/data/####/cn.jpush.android.user.profile.xml
- /data/data/####/cn.jpush.preferences.v2.rid.xml
- /data/data/####/cn.jpush.preferences.v2.xml
- /data/data/####/com.example.nyapp_preferences.xml
- /data/data/####/com.qiyukf.analytics.xml
- /data/data/####/d10d29611f45673bae3fbddb50215bc31c33f1e192af90b....0.tmp
- /data/data/####/d444261eec3c79e7d34695cece445b777e4428e078d46b5...82dd.0
- /data/data/####/d95398e5b0f1918eac13ad19d47246ce5619f9d1058e362....0.tmp
- /data/data/####/dW1weF9pbnRlcm5hbF8xNjQ1NDIxMDQ4MjEw;
- /data/data/####/dW1weF9pbnRlcm5hbF8xNjQ1NDIxMDU4MjQz;
- /data/data/####/da7ad801b7542f849b9b7460f536dd85617ec1a0e2030bc...1af1.0
- /data/data/####/device_id.xml.xml
- /data/data/####/e8a97d55c805fc167d4f099d87ef6a191fd4d869384c441....0.tmp
- /data/data/####/eef67feb7f87c4524ba3b98607067fd41f830b70027ad12....0.tmp
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/f6075efdb624fc025ad21a73655f271fc8ff629818ee103....0.tmp
- /data/data/####/f66b70472e58c55e4882464765fd3f1010cef9ca0cf4428....0.tmp
- /data/data/####/f7a5073e-aea0-4e9b-b573-c8a046a26752
- /data/data/####/firll.dat
- /data/data/####/gal.db
- /data/data/####/gal.db-journal
- /data/data/####/getui_sp.xml
- /data/data/####/hst.db
- /data/data/####/hst.db-journal
- /data/data/####/html5Geo.xml
- /data/data/####/i==1.2.0&&2.3.1_1645421048408_envelope.log
- /data/data/####/i==1.2.0&&2.3.1_1645421058686_envelope.log
- /data/data/####/info.xml
- /data/data/####/journal
- /data/data/####/jpush_device_info.xml
- /data/data/####/jpush_stat_cache.json
- /data/data/####/jpush_stat_cache_history.json
- /data/data/####/jpush_uncaughtexception_file
- /data/data/####/libcuid.so
- /data/data/####/libjiagu.so
- /data/data/####/mac.xml
- /data/data/####/metrics_guid
- /data/data/####/msg.db-journal
- /data/data/####/nongyi.db-journal
- /data/data/####/ofl.config
- /data/data/####/ofl_location.db
- /data/data/####/ofl_location.db-journal
- /data/data/####/ofl_statistics.db
- /data/data/####/ofl_statistics.db-journal
- /data/data/####/pdr.xml
- /data/data/####/proc_auxv
- /data/data/####/qihoo_jiagu_crash_report.xml
- /data/data/####/qiyu_save_600d23d5f06978a80d41f9d4cf3ae394.xml
- /data/data/####/report_v5.msgstore-journal (deleted)
- /data/data/####/share.db-journal
- /data/data/####/stream_permission.xml
- /data/data/####/tls_device.dat
- /data/data/####/um_pri.xml
- /data/data/####/umdat.xml
- /data/data/####/umeng_common_config.xml
- /data/data/####/umeng_common_location.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/umeng_socialize.xml
- /data/data/####/unicorn#cheese#
- /data/data/####/wakeup_cache_v2.json
- /data/media/####/.a.dat
- /data/media/####/.adfwe.dat
- /data/media/####/.cca.dat
- /data/media/####/.confd
- /data/media/####/.confd-journal
- /data/media/####/.cuid2
- /data/media/####/.nomedia
- /data/media/####/.push_deviceid
- /data/media/####/.timestamp
- /data/media/####/.umm.dat
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/app.22.02.21.08.log
- /data/media/####/conlts.dat
- /data/media/####/crash-2022-02-21 08-24-10-1645421050172.log
- /data/media/####/imsdk_20220221.log
- /data/media/####/ls.db
- /data/media/####/ls.db-journal
- /data/media/####/sdk.22.02.21.08.log
- /data/media/####/sysid.dat
- /data/media/####/tmp_c_20220221
- /data/media/####/tmp_u_20220221
- /data/misc/####/primary.prof
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
- getprop ro.build.display.id
- getprop ro.build.version.emui
- getprop ro.build.version.opporom
- getprop ro.miui.ui.version.name
- getprop ro.smartisan.version
- getprop ro.vivo.os.version
- ls /
- ls /sys/class/thermal
- ps
Загружает динамические библиотеки:
- libX86Bridge
- lib_imcore_jni_gyp
- libjcore127
- libjiagu
- liblocSDK7a
- libqalcodecwrapper
- libqalmsfboot
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-ECB-NoPadding
- AES-ECB-PKCS5Padding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-ECB-NoPadding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию о настроках APN.
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Запрашивает разрешение на отображение системных уведомлений.
