Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(HTTP/1.1) pi####.qq.com:80
- TCP(HTTP/1.1) b.qchann####.cn:80
- TCP(HTTP/1.1) jx.k####.cn.####.com:80
- TCP(HTTP/1.1) m####.3g.qq.com:80
- TCP(HTTP/1.1) log.k####.cn:80
- TCP(HTTP/1.1) res####.a####.com:80
- TCP(HTTP/1.1) kw####.k####.cn.####.com:80
- TCP(HTTP/1.1) i####.k####.k####.####.com:80
- TCP(HTTP/1.1) l####.tbs.qq.com:80
- TCP(HTTP/1.1) uh1.k####.cn:80
- TCP(HTTP/1.1) splashi####.yun.k####.com:80
- TCP(HTTP/1.1) amap####.cn-hang####.oss####.####.com:80
- TCP(HTTP/1.1) v####.k####.cn:80
- TCP(HTTP/1.1) api.iim####.cn:80
- TCP(TLS/1.0) log.qchann####.cn:443
- TCP(TLS/1.0) rr12---####.g####.com:443
- TCP(TLS/1.0) a.qchann####.cn:443
- TCP(TLS/1.0) ali-s####.j####.cn:443
- TCP(TLS/1.0) res####.a####.com:443
- TCP(TLS/1.0) v####.k####.cn:443
- TCP(TLS/1.0) fd.qchann####.cn:443
- TCP(TLS/1.0) 64.2####.162.95:443
- TCP(TLS/1.0) www.qchann####.cn:443
- TCP(TLS/1.0) msg.ecl####.cn:443
- TCP(TLS/1.0) 1####.251.1.95:443
- TCP(TLS/1.0) bj####.j####.cn:443
- TCP(TLS/1.0) b.qchann####.cn:443
- TCP(TLS/1.0) t####.j####.cn:443
- TCP(TLS/1.0) kw####.k####.cn.####.com:443
- TCP(TLS/1.0) gd-s####.j####.cn:443
- TCP(TLS/1.2) 64.2####.164.94:443
- TCP(TLS/1.2) 1####.251.1.95:443
- TCP 1####.36.203.169:7004
- UDP 60.28.2####.13:443
- UDP 60.28.2####.13:80
- UDP easytom####.com:19000
Запросы DNS:
- a.qchann####.cn
- ali-s####.j####.cn
- amap####.cn-hang####.oss####.####.com
- api####.a####.com
- api.iim####.cn
- b.qchann####.cn
- bj####.j####.cn
- del####.k####.cn
- e####.k####.cn
- easytom####.com
- fd.qchann####.cn
- g.k####.com
- gd-s####.j####.cn
- i####.k####.k####.cn
- i####.k####.k####.cn
- jx.k####.cn
- kw####.k####.cn
- kw####.k####.cn.####.8
- l####.tbs.qq.com
- log.k####.cn
- log.qchann####.cn
- m####.3g.qq.com
- m####.cdn.k####.cn
- m####.go####.com
- m####.k####.cn
- m####.k####.cn
- mg####.k####.cn
- mobi####.k####.cn
- mobile####.k####.cn
- mobilei####.k####.cn
- msg.ecl####.cn
- musi####.k####.cn
- n####.k####.cn
- pi####.qq.com
- r####.k####.cn
- res####.a####.com
- rr12---####.g####.com
- s.j####.cn
- searchr####.k####.cn
- sis.j####.io
- splashi####.yun.k####.com
- t####.j####.cn
- t####.qchann####.cn
- uh1.k####.cn
- uh2.k####.cn
- v####.k####.cn
- w####.k####.cn
- we####.k####.cn
- www.qchann####.cn
- zhibose####.k####.cn
Запросы HTTP GET:
- amap####.cn-hang####.oss####.####.com/sdkcoor/android/armeabi-v7a/libJni...
- api.iim####.cn/1/app/info?app_id=####&ip=####
- bj####.j####.cn:443/v1/appawake/status?uid=####&appkey=####&manufacturer...
- i####.k####.k####.####.com/resource/kstory/d/2021/05/19/night_data.json
- i####.k####.k####.####.com/star/upload/1/1/1515384505665_.png
- i####.k####.k####.####.com/star/upload/14/14/1515054970766_.png
- jx.k####.cn.####.com/KuwoLive/GetAppPhoneConfigNew?type=####
- jx.k####.cn.####.com/KuwoLive/app/getShortPeriodParams?method=####
- jx.k####.cn.####.com/log.stat?cmd=####&msg=####
- kw####.k####.cn.####.com/star/upload/ecom/1634117245273.png
- kw####.k####.cn.####.com:443/star/upload/ecom/1678785077917.jpg
- log.qchann####.cn:443/n/dpz/?app=####&uid=####&sv=####&appver=####&osver...
- msg.ecl####.cn:443/msg/supplier/msgs?app_id=####&v=####&package_name=###...
- splashi####.yun.k####.com/a2258b0a232778c5a0b20d22efbaf17a.jpeg
- splashi####.yun.k####.com/ecc36fcdaa8af26cc9fd7a686849004b.jpeg
- uh1.k####.cn/EcomResourceServer/cooperation/listAll?cid=####&appuid=####...
- uh1.k####.cn/EcomResourceServer/downloadBanner/adinfo?ver=####&appuid=##...
- uh1.k####.cn/EcomResourceServer/getIsHideAd.do?ver=####&src=####&appuid=...
- uh1.k####.cn/EcomResourceServer/getMotor.do?ver=####&appuid=####&cid=###...
- uh1.k####.cn/EcomResourceServer/getTab?cid=####&appuid=####&loginUid=###...
- uh1.k####.cn/EcomResourceServer/kaiping/adinfo?user=####&android_id=####...
- uh1.k####.cn/EcomResourceServer/kaiping/getcache?user=####&android_id=##...
- uh1.k####.cn/MobileAdServer/GetMobileAd.do?isNew=####&apiversion=####&ne...
- uh1.k####.cn/api/mobile/index/recPic?uid=####&loginUid=####&apiv=####&us...
- uh1.k####.cn/api/mobile/privacy/detail?from=####
- uh1.k####.cn/api/setting/sidebar/menus?&apiv=####&user=####&loginId=####
- uh1.k####.cn/api/setting/signin/data?user=####&loginId=####
- uh1.k####.cn/api/setting/taskcenter/data?user=####&loginId=####
- uh1.k####.cn/api/video/openUser?source=####&loginUid=####&loginSid=####&...
- uh1.k####.cn/config?ver=####&appuid=####&cid=####&src=####&clientip=####...
- uh1.k####.cn/er.s?type=####&f=####
- uh1.k####.cn/g.real?aid=####&ver=####&cid=####&src=####&appuid=####&user...
- uh1.k####.cn/mgxh.s?type=####&uid=####&loginUid=####&isVip=####&apiv=###...
- uh1.k####.cn/mobi.s?f=####&q=####
- uh1.k####.cn/mobi.s?f=####&q=XWGUx####
- uh1.k####.cn/offline_config?os=####&ver=####&appuid=####&cid=####&src=##...
- uh1.k####.cn/recterm.s?encoding=####
- uh1.k####.cn/request_newuser?type=####&source=####&user=####&android_id=...
- uh1.k####.cn/skin?type=####&skin_type=####&skin_name=####&platform=####&...
- v####.k####.cn/regsvr.auth?1####&XwsAGzY####
- v####.k####.cn/vip/v2/sysinfo?op=####&platform=####&isShowNewPayConfig=#...
- v####.k####.cn/vip/v2/theme?op=####&platform=####&lastTime=####
- v####.k####.cn:443/
Запросы HTTP POST:
- a.qchann####.cn:443/lfc
- ali-s####.j####.cn:443/v3/report
- b.qchann####.cn/n/adj?ak=####&uid=####&offline=####&r=####&sv=####
- b.qchann####.cn/n/ard?appkey=####&uid=####&sdk=####&sm=####&type=####
- fd.qchann####.cn:443/truth?appkey=####&uid=####&sdk=####&type=####&ft=##...
- fd.qchann####.cn:443/v1
- gd-s####.j####.cn:443/v3/report
- l####.tbs.qq.com/ajax?c=####&k=####
- log.k####.cn/music.yl
- m####.3g.qq.com/
- pi####.qq.com/mstat/report/?index=####
- res####.a####.com/v3/log/init
- res####.a####.com:443/v3/config/resource
- t####.j####.cn:443/
- uh1.k####.cn/mobi.s?f=####&q=####
- uh1.k####.cn/mobi.s?f=####&q=XWGUx####
- uh1.k####.cn/vipconfig/vip_config.txt
Изменения в файловой системе:
Создает следующие файлы:
- /data/anr/traces.txt
- /data/data/####/.jg.ic
- /data/data/####/.jg.store.report_cf
- /data/data/####/.jgck
- /data/data/####/.oss.xml
- /data/data/####/.oss.xml.bak
- /data/data/####/112211
- /data/data/####/36381a34-bf79-46fd-b46a-869955a61c57
- /data/data/####/3abb0091-9589-441a-961b-26be1caa6221
- /data/data/####/61371b7e-8f32-4f4f-b0a2-bc760422be8e
- /data/data/####/89992b9f-0cef-4f9b-9f70-e6cde185314e
- /data/data/####/AN.csv-1678825292592
- /data/data/####/AN.csv-20230314232122
- /data/data/####/ConfigInfo.xml
- /data/data/####/IpInfos.xml
- /data/data/####/IpInfos.xml.bak
- /data/data/####/Push_Page_Config.xml
- /data/data/####/QT.xml
- /data/data/####/TMSPropertiesb_d_pre.xml
- /data/data/####/TMSPropertiesc_c_s.xml
- /data/data/####/TMSPropertiesc_c_s.xml.bak
- /data/data/####/TMSPropertiestms.xml
- /data/data/####/TruthInfo.csv-1678825292590
- /data/data/####/TruthInfo.csv-20230314232122
- /data/data/####/UA.csv-1678825292554
- /data/data/####/UA.csv-20230314232123
- /data/data/####/VERIFY_SP.xml
- /data/data/####/WebViewChromiumPrefs.xml
- /data/data/####/arch.xml
- /data/data/####/b3NzX3N0YXQ-journal
- /data/data/####/bal.catch
- /data/data/####/bwc.catch
- /data/data/####/classes.dex
- /data/data/####/classes.dex;classes2.dex
- /data/data/####/classes.dex;classes3.dex
- /data/data/####/classes.dex;classes4.dex
- /data/data/####/classes.dex;classes5.dex
- /data/data/####/classes.dex;classes6.dex
- /data/data/####/classes.oat
- /data/data/####/cn.jiguang.common.xml
- /data/data/####/cn.jiguang.common.xml.bak
- /data/data/####/cn.jiguang.sdk.address.xml
- /data/data/####/cn.jiguang.sdk.address.xml.bak
- /data/data/####/cn.jiguang.sdk.report.xml
- /data/data/####/cn.jiguang.sdk.user.profile.xml
- /data/data/####/cn.jpush.android.user.profile.xml
- /data/data/####/cn.jpush.preferences.v2.rid.xml
- /data/data/####/cn.jpush.preferences.v2.xml
- /data/data/####/cn.kuwo.player;servicedual_sim_sp.xml
- /data/data/####/cn.kuwo.player_preferences.xml
- /data/data/####/cn.kuwo.player_preferences.xml.bak
- /data/data/####/cn.kuwo.player_preferences.xml.bak (deleted)
- /data/data/####/cn.kuwo.playerdual_sim_sp.xml
- /data/data/####/cn_kuwo_skin_pref.xml
- /data/data/####/config
- /data/data/####/config.gz
- /data/data/####/core_info
- /data/data/####/d5f10a22435816bb768306b78096bf60.xml
- /data/data/####/dafd5728-335b-4346-a2d2-89f104b3b67d
- /data/data/####/debug.conf
- /data/data/####/download_upload
- /data/data/####/f9cb2e7b-2bf4-4673-a865-2fdfc496f00b
- /data/data/####/flow.xml
- /data/data/####/hmdb
- /data/data/####/hmdb-journal
- /data/data/####/import.lua
- /data/data/####/jsserver_crash_info.log
- /data/data/####/kwassist.db-journal
- /data/data/####/kwplayer.db-journal
- /data/data/####/libjiagu.so
- /data/data/####/libweexjsb.so
- /data/data/####/loctemp.so
- /data/data/####/mAPP.xml
- /data/data/####/mAPP.xml.bak
- /data/data/####/metrics_guid
- /data/data/####/mipush.xml
- /data/data/####/mipush.xml.bak
- /data/data/####/mipush_extra.xml
- /data/data/####/pref.xml
- /data/data/####/pri_tencent_analysis.db_cn.kuwo.player-journal
- /data/data/####/proc_auxv
- /data/data/####/push_stat_cache.json
- /data/data/####/qfs.js-20230314
- /data/data/####/qfs_4DAE87FA7553F13736C6A145AF4EEF8C_2023031423...bc1f69
- /data/data/####/qfs_4DAE87FA7553F13736C6A145AF4EEF8C_2023031423...f69.gz
- /data/data/####/qt.csv.1678825278041.txt
- /data/data/####/qtsession.xml
- /data/data/####/qtsession.xml.bak
- /data/data/####/r.db
- /data/data/####/r.db-journal
- /data/data/####/reomte_shared_prefence.xml
- /data/data/####/rl.catch
- /data/data/####/sp_client_report_status.xml
- /data/data/####/st_1678825292036.js
- /data/data/####/tbs_download_config.xml
- /data/data/####/tbs_download_stat.xml
- /data/data/####/tbs_pv_config
- /data/data/####/tbscoreinstall.txt
- /data/data/####/tbslock.txt
- /data/data/####/tencent_analysis.db_cn.kuwo.player-journal
- /data/data/####/tmsdk_dualsim_shark.xml
- /data/data/####/traffic_mobile.db-journal
- /data/data/####/unicom_flow_mobile.db-journal
- /data/data/####/webviewCache.db
- /data/data/####/webviewCache.db-journal
- /data/media/####/-127401065.2324_2023_03_15_00_00_00.dat
- /data/media/####/-1509020367.2331_2023_03_15_00_00_00.dat
- /data/media/####/-159367235.41948_2023_03_15_11_00_00.dat
- /data/media/####/-325211977.2349_2023_03_15_00_00_00.dat
- /data/media/####/-952894560.85122_2023_03_15_23_00_00.dat
- /data/media/####/.push_deviceid
- /data/media/####/0_bd5360b8cbaff8060918ea60c95a06e5.jpeg
- /data/media/####/1126657243.1776_2023_03_14_23_51_00.dat
- /data/media/####/1255233858.85124_2023_03_15_23_00_00.dat
- /data/media/####/14199_7c909bdd4803d9ddca1c26ea8e7f1ef2.jpg
- /data/media/####/1555423551.5950_2023_03_15_01_00_00.dat
- /data/media/####/1754915581.5949_2023_03_15_01_00_00.dat
- /data/media/####/1962703919.41948_2023_03_15_11_00_00.dat
- /data/media/####/1_18ed773f76a60e43e40a02b318e99911.bat
- /data/media/####/246956360.85123_2023_03_15_23_00_00.dat
- /data/media/####/2ee89cf6b60dfec1a19663f1d9017647
- /data/media/####/3092312079_eb816ec6cdd0a0e8428a66f296f1214d.jpeg
- /data/media/####/3c67280ca12ef4fcd668054015d1eff0
- /data/media/####/467914407.2324_2023_03_15_00_00_00.dat
- /data/media/####/617429136.5947_2023_03_15_01_00_00.dat
- /data/media/####/7b8f7d041385840f4d6bb1717727925b
- /data/media/####/9nMdCvH7cKAIPgzeBHSGXg6Kc1c.437597553.tmp
- /data/media/####/LtgBE0bfO4ByonjfFfdPCefOqYY.1112379088.tmp
- /data/media/####/MEElcXKIsrQGwh_yHuV-Cr6SHRo.1774008814.tmp
- /data/media/####/MEElcXKIsrQGwh_yHuV-Cr6SHRo.cnt
- /data/media/####/ae_eq_2016.dat
- /data/media/####/b756ed8ff066a4bea8b92c836e502887
- /data/media/####/cf_hs_2.dat
- /data/media/####/cf_lk_2.dat
- /data/media/####/cf_st_2.dat
- /data/media/####/cn.kuwo.player_act.log
- /data/media/####/cn.kuwo.player_act.log.lck
- /data/media/####/device_id.text
- /data/media/####/server.dat
- /data/media/####/sk_g.dat
- /data/media/####/sk_v.dat
- /data/media/####/tbslog.txt
- /data/media/####/uid.text
- /data/media/####/upgrade.dat
- /data/media/####/uuid
- /data/media/####/vipconf.dat
- /data/misc/####/primary.prof
Другие:
Запускает следующие shell-скрипты:
- /data/app/<Package>-1/lib/arm/libweexjsb.so 130 0
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
- cat /proc/net/raw
- cat /proc/net/raw6
- cat /proc/net/tcp
- cat /proc/net/tcp6
- cat /proc/net/udp
- cat /proc/net/udp6
- getprop ro.gn.platform.support
- getprop ro.mediatek.platform
- getprop ro.product.cpu.abi
- ps
Загружает динамические библиотеки:
- libMtaNativeCrash_v2
- libTmsdk-2.0.8-dual-mfr
- libimagepipeline
- libjiagu
- libkwconfig
- libmresearch
- libp2p
- libweexjsc
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS7Padding
- DES-CBC-PKCS5Padding
- DES-CFB-NoPadding
- RSA-ECB-NoPadding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS7Padding
- DES-CBC-PKCS5Padding
- DES-ECB-NoPadding
- RSA-ECB-PKCS1Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
Управляет Wi-Fi-подключением.
Запрашивает разрешение на отображение системных уведомлений.
