Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(HTTP/1.1) cdn-sdk####.g####.com.####.cn:80
- TCP(HTTP/1.1) qiniuvi####.cdn.d####.com:80
- TCP(HTTP/1.1) c-h####.g####.com:80
- TCP(HTTP/1.1) sdk.o####.p####.####.com:80
- TCP(HTTP/1.1) versi####.api.h####.cn:80
- TCP(HTTP/1.1) l####.c####.h####.cn:443
- TCP(HTTP/1.1) m####.p####.j####.cn:80
- TCP(HTTP/1.1) sdk.c####.g####.####.cn:80
- TCP(HTTP/1.1) l####.tbs.qq.com:80
- TCP(HTTP/1.1) img.p####.j####.####.cn:80
- TCP(HTTP/1.1) wea####.api.h####.cn:80
- TCP(TLS/1.0) u####.u####.com:443
- TCP(TLS/1.0) h####.b####.com:443
- TCP(TLS/1.0) 1####.194.73.95:443
- TCP(TLS/1.0) plb####.u####.com:443
- TCP(TLS/1.0) api.map.b####.com:443
- TCP(TLS/1.0) rr6---s####.g####.com:443
- TCP(TLS/1.0) 64.2####.164.94:443
- TCP(TLS/1.0) api.w####.com:443
- TCP(TLS/1.2) 64.2####.165.138:443
- TCP(TLS/1.2) 1####.194.222.95:443
- TCP sdk.o####.t####.####.com:5224
- TCP hoge-ap####.b0.a####.com:443
- TCP init####.c####.h####.cn:443
- TCP cm-10####.g####.com:5225
Запросы DNS:
- 041791b####.bug####.cn
- 041791b####.bug####.cn.####.8
- api.map.b####.com
- api.w####.com
- app.c####.h####.cn
- c-h####.g####.com
- cdn-sdk####.g####.com
- cm-10####.g####.com
- h####.b####.com
- img.p####.j####.cn
- init####.c####.h####.cn
- l####.c####.h####.cn
- l####.tbs.qq.com
- m####.p####.j####.cn
- mm.u.h####.cn
- plb####.u####.com
- rr6---s####.g####.com
- sdk.c####.g####.com
- sdk.o####.p####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
- soc.c####.hoge####.com
- u####.u####.com
- versi####.api.h####.cn
- wea####.api.h####.cn
Запросы HTTP GET:
- api.w####.com:443/oauth2/getaid.json?appkey=####&mfp=01o####&packagename...
- api.w####.com:443/oauth2/getaid.json?appkey=####&mfp=01t####&packagename...
- cdn-sdk####.g####.com.####.cn/tdata_EAx630
- cdn-sdk####.g####.com.####.cn/tdata_fPG280
- cdn-sdk####.g####.com.####.cn/tdata_kPg706
- img.p####.j####.####.cn/20230403b38c9853c5a46898b031916ec412c434.png?ima...
- img.p####.j####.####.cn/202304186131bf3b7dc9dca790416e844ff3a61d.png?ima...
- img.p####.j####.####.cn/202304255dd86658d5d8f0bdfcb9f08b0d6366f6.png?ima...
- img.p####.j####.####.cn/20230427fc5fb446f4fd61727a1f699e7e275c94.png?ima...
- img.p####.j####.####.cn/20230429438674f6011aab78180b532647eef156_origin....
- img.p####.j####.####.cn/20230429726ead35f695c4c5ec25f6070ec3ec68_origin....
- l####.c####.h####.cn:443/produce/pcontent/android/123/94af2f6fe15f7f1cfb...
- m####.p####.j####.cn/api/open/liaoyuan/ad_news.php?system_version=####&a...
- m####.p####.j####.cn/api/open/liaoyuan/get_app_startup_ad?system_version...
- m####.p####.j####.cn/api/open/liaoyuan/get_content_info.php?system_versi...
- m####.p####.j####.cn/api/open/liaoyuan/news.php?site_id=####&client_type...
- qiniuvi####.cdn.d####.com/mxu/2018/0829/45/45cbc07bb4d2245cbc81df2faf1bf...
- qiniuvi####.cdn.d####.com/mxu/2018/0829/fc/fc49b41b5cd04207f98617c71b185...
- qiniuvi####.cdn.d####.com/mxu/2018/0929/0d/0d825d80e693b0e203d3f45c119c3...
- qiniuvi####.cdn.d####.com/mxu/2018/0929/49/490b5e9d00f2c64d4a1e3148c6019...
- qiniuvi####.cdn.d####.com/mxu/2018/0929/5d/5d0500ecc5d411111eb5e0006f95d...
- qiniuvi####.cdn.d####.com/mxu/2018/0929/8e/8ec820572e142133e44f899b7e4fa...
- qiniuvi####.cdn.d####.com/mxu/2018/0929/98/98ed2799ac0e87f0c4637186a71df...
- qiniuvi####.cdn.d####.com/mxu/2018/0929/9a/9ae368068ea7a837d4e47070da726...
- qiniuvi####.cdn.d####.com/mxu/2018/0929/c8/c8858dd518927bb6b8dd65dba8ddd...
- qiniuvi####.cdn.d####.com/mxu/2018/0929/f3/f30990ec2e49682ef9784453be37e...
- sdk.c####.g####.####.cn/config/hzv9.conf
- versi####.api.h####.cn/?m=####&c=####&bundle_id=####&client_type=####&sy...
- wea####.api.h####.cn/?m=####&c=####&system_version=####&app_version=####...
Запросы HTTP POST:
- api.map.b####.com:443/sdkcs/verify
- c-h####.g####.com/api.php?format=####&t=####
- h####.b####.com:443/app.gif
- l####.tbs.qq.com/ajax?c=####&k=####
- m####.p####.j####.cn/api/open/liaoyuan/mobile_client.php?system_version=...
- plb####.u####.com:443/umpx_internal
- sdk.o####.p####.####.com/api.php?format=####&t=####
- u####.u####.com:443/unify_logs
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/CookiePersistence.xml
- /data/data/####/UM_PROBE_DATA.xml
- /data/data/####/__Baidu_Stat_SDK_SendRem.xml
- /data/data/####/__local_ap_info_cache.json
- /data/data/####/__local_last_session.json
- /data/data/####/__local_stat_cache.json
- /data/data/####/__send_data_1682845869372
- /data/data/####/a==7.4.0&&1.0.1_1682845832209_envelope.log
- /data/data/####/app_language_sp.xml
- /data/data/####/audio.xml
- /data/data/####/authStatus_com.hoge.android.app.liaoyuan.xml
- /data/data/####/authStatus_com.hoge.android.app.liaoyuan;pushservice.xml
- /data/data/####/authStatus_com.hoge.android.app.liaoyuan;remote.xml
- /data/data/####/baidu_mtj_sdk_record.xml
- /data/data/####/classes.dex
- /data/data/####/classes.dex;classes10.dex
- /data/data/####/classes.dex;classes11.dex
- /data/data/####/classes.dex;classes12.dex
- /data/data/####/classes.dex;classes13.dex
- /data/data/####/classes.dex;classes2.dex
- /data/data/####/classes.dex;classes3.dex
- /data/data/####/classes.dex;classes4.dex
- /data/data/####/classes.dex;classes5.dex
- /data/data/####/classes.dex;classes6.dex
- /data/data/####/classes.dex;classes7.dex
- /data/data/####/classes.dex;classes8.dex
- /data/data/####/classes.dex;classes9.dex
- /data/data/####/core_info
- /data/data/####/dW1weF9pbnRlcm5hbF8xNjgyODQ1ODI0Mjgw;
- /data/data/####/dms_sp.xml
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/gal.db
- /data/data/####/gal.db-journal
- /data/data/####/getui_sp.xml
- /data/data/####/gkt-journal
- /data/data/####/hst.db
- /data/data/####/hst.db-journal
- /data/data/####/i==1.2.0&&1.0.1_1682845824214_envelope.log
- /data/data/####/info.xml
- /data/data/####/init.pid
- /data/data/####/init_c1.pid
- /data/data/####/journal
- /data/data/####/libcuid.so
- /data/data/####/libjiagu.so
- /data/data/####/lock_dm
- /data/data/####/lock_gt
- /data/data/####/mac.xml
- /data/data/####/movie.binary
- /data/data/####/movie.spec
- /data/data/####/mxu.db-journal
- /data/data/####/ofl_location.db
- /data/data/####/ofl_location.db-journal
- /data/data/####/ofl_statistics.db
- /data/data/####/ofl_statistics.db-journal
- /data/data/####/proc_auxv
- /data/data/####/psd_17.png
- /data/data/####/psd_21.png
- /data/data/####/psd_23.png
- /data/data/####/psd_25.png
- /data/data/####/psd_27.png
- /data/data/####/psd_29.png
- /data/data/####/psd_31.png
- /data/data/####/psd_33.png
- /data/data/####/psd_35.png
- /data/data/####/push.pid
- /data/data/####/pushext.db-journal
- /data/data/####/pushsdk.db-journal
- /data/data/####/run.pid
- /data/data/####/setting.xml
- /data/data/####/setting.xml.bak
- /data/data/####/tbs_download_config.xml
- /data/data/####/tbs_download_config.xml.bak
- /data/data/####/tbs_download_stat.xml
- /data/data/####/tbscoreinstall.txt
- /data/data/####/tbslock.txt
- /data/data/####/tdata_EAx630
- /data/data/####/tdata_EAx630.dex
- /data/data/####/tdata_EAx630.dex.flock (deleted)
- /data/data/####/tdata_EAx630.jar
- /data/data/####/tdata_fPG280
- /data/data/####/tdata_fPG280.dex
- /data/data/####/tdata_fPG280.dex.flock (deleted)
- /data/data/####/tdata_fPG280.jar
- /data/data/####/tdata_kPg706
- /data/data/####/tdata_kPg706.jar
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/um_pri.xml
- /data/data/####/umeng_common_config.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/media/####/.confd
- /data/media/####/.confd-journal
- /data/media/####/.cuid2
- /data/media/####/.timestamp
- /data/media/####/0386b22030b108d564cd447005185a227781f3d70c5a1d....0.tmp
- /data/media/####/0386b22030b108d564cd447005185a227781f3d70c5a1d...9052.0
- /data/media/####/05ff11b11a9ebcfba0a5fbdccafa61d73a0642a360adf6....0.tmp
- /data/media/####/05ff11b11a9ebcfba0a5fbdccafa61d73a0642a360adf6...73a7.0
- /data/media/####/095fd4e69492dcf87a50921bcaee15558d1e11138982ca...bb6b.0
- /data/media/####/0d1dd1b3608a226c20b2f0be0088f6d106662ff49c817a....0.tmp
- /data/media/####/0eaee430fc9124bab983b64582a2fdddffdeaf3868b890....0.tmp
- /data/media/####/139578fc6b2bce01f5d071bbb66bbf4f1e30c7736808af....0.tmp
- /data/media/####/28a1d33cbc8c322ffacfcaee3d5ed678e4d5b2183d5ff9....0.tmp
- /data/media/####/28a1d33cbc8c322ffacfcaee3d5ed678e4d5b2183d5ff9...7bc0.0
- /data/media/####/306577eb62e6c313e798a8afc55d3f4f8b5ef1e3022b6c...5e57.0
- /data/media/####/3f8e2d641d7cc567ce715422a1c4ee1809fc363979466c....0.tmp
- /data/media/####/3f8e2d641d7cc567ce715422a1c4ee1809fc363979466c...6399.0
- /data/media/####/405babf40b505975df24b5787c64de23d447943bf1dcae....0.tmp
- /data/media/####/40ebeb7bf85ff7e35a042a0e7fa68330733f264d3f0a99....0.tmp
- /data/media/####/40ebeb7bf85ff7e35a042a0e7fa68330733f264d3f0a99...ff87.0
- /data/media/####/45bfe009128152cba6e0dcd1749f5ccc40c549b6c71ca5....0.tmp
- /data/media/####/45bfe009128152cba6e0dcd1749f5ccc40c549b6c71ca5...746a.0
- /data/media/####/4a98b25d87dd200591a719ad28456a9d29bf1667340245....0.tmp
- /data/media/####/4a98b25d87dd200591a719ad28456a9d29bf1667340245...5ea8.0
- /data/media/####/53e2478725f688bb7a398f1dab989bd47a97528e873a33....0.tmp
- /data/media/####/53e2478725f688bb7a398f1dab989bd47a97528e873a33...71e5.0
- /data/media/####/5a4ccb6a04777ab009795b82a4d3c9cc486aa428d1c6f1....0.tmp
- /data/media/####/623bf238226b113c14ac5079762f32fda33420a670937c....0.tmp
- /data/media/####/623bf238226b113c14ac5079762f32fda33420a670937c...3659.0
- /data/media/####/69ff8b2adb6c9d387bafc0dbc6881e65ed27718d0b0b87....0.tmp
- /data/media/####/69ff8b2adb6c9d387bafc0dbc6881e65ed27718d0b0b87...464f.0
- /data/media/####/78c99e4cecf8a7eadbd6145e537783544a782d7d05d621....0.tmp
- /data/media/####/7f217c283c8b9adeef588fd06d97ff36ba6462221f8090....0.tmp
- /data/media/####/7f217c283c8b9adeef588fd06d97ff36ba6462221f8090...6ddc.0
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/a29c85315f8a7df2d9af4e678c6058858979f2d605ab33...4a26.0
- /data/media/####/aa9d38820af894a4c8f60000985ee98c5311554f9b33d6....0.tmp
- /data/media/####/aa9d38820af894a4c8f60000985ee98c5311554f9b33d6...05cd.0
- /data/media/####/app.db
- /data/media/####/cf7315581adbef4867a35664f177845c0051d61f893cd7....0.tmp
- /data/media/####/com.getui.sdk.deviceId.db
- /data/media/####/com.hoge.android.app.liaoyuan.bin
- /data/media/####/com.hoge.android.app.liaoyuan.db
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/config.zip
- /data/media/####/d15bf243ab387be9c123b68c10ffc9d7e585d52d991804....0.tmp
- /data/media/####/d15bf243ab387be9c123b68c10ffc9d7e585d52d991804...64d5.0
- /data/media/####/d9c1b499a3ed01872cfebd0dde7979445ffc3d9e614f04....0.tmp
- /data/media/####/d9c1b499a3ed01872cfebd0dde7979445ffc3d9e614f04...99dc.0
- /data/media/####/e70ab8edaa42f1bfc7bfc58d9f9b250831a872d55297e0...296e.0
- /data/media/####/fb9ac62f340decdeab82ce5729a0e980cbe955c2d114a4...d616.0
- /data/media/####/gkt
- /data/media/####/gkt-journal
- /data/media/####/gktper (deleted)
- /data/media/####/journal
- /data/media/####/journal.tmp
- /data/media/####/ls.db
- /data/media/####/ls.db-journal
- /data/media/####/main.json
- /data/media/####/module_areaList.json
- /data/media/####/module_card.json
- /data/media/####/module_fufei.json
- /data/media/####/module_fuwu.json
- /data/media/####/module_harvest.json
- /data/media/####/module_home.json
- /data/media/####/module_live.json
- /data/media/####/module_my.json
- /data/media/####/module_news.json
- /data/media/####/module_search.json
- /data/media/####/module_sjt.json
- /data/media/####/module_special.json
- /data/media/####/module_vod.json
- /data/media/####/module_weather.json
- /data/media/####/module_wzxc.json
- /data/media/####/module_xinwen.json
- /data/media/####/nav_476.json
- /data/media/####/tbslog.txt
- /data/media/####/tdata_EAx630
- /data/media/####/tdata_fPG280
- /data/media/####/tdata_kPg706
- /data/media/####/test.log (deleted)
- /data/misc/####/primary.prof
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
- getprop ro.build.display.id
- getprop ro.build.version.emui
- getprop ro.build.version.opporom
- getprop ro.miui.ui.version.name
- getprop ro.product.cpu.abi
- getprop ro.smartisan.version
- getprop ro.vivo.os.version
- ls /
- ls /data/anr/
- ls /sys/class/thermal
Загружает динамические библиотеки:
- libBaiduMapSDK_base_v4_5_2
- libX86Bridge
- libgetuiext2
- libjiagu
- liblocSDK7a
- libm2o_jni
- libweibosdkcore
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS5Padding
- RSA-ECB-NoPadding
- RSA-ECB-PKCS1Padding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- desede-CBC-PKCS5Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию о настроках APN.
Получает информацию об установленных приложениях.
Получает информацию о привязанных к устройству аккаунтах.
Отрисовывает собственные окна поверх других приложений.
Запрашивает разрешение на отображение системных уведомлений.
