Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(HTTP/1.1) mps.a####.com:80
- TCP(HTTP/1.1) cdn-sdk####.g####.com.####.cn:80
- TCP(HTTP/1.1) sdk.o####.p####.####.com:80
- TCP(HTTP/1.1) scs.opensp####.cn:80
- TCP(HTTP/1.1) sdk.c####.g####.####.cn:80
- TCP(HTTP/1.1) res####.a####.com:80
- TCP(HTTP/1.1) f.gm.m####.com:80
- TCP(HTTP/1.1) c-h####.g####.com:80
- TCP(HTTP/1.1) a####.exc.mob.com:80
- TCP(HTTP/1.1) api.s####.mob.com:80
- TCP(HTTP/1.1) a.a####.com:80
- TCP(TLS/1.0) t####.j####.cn:443
- TCP(TLS/1.0) 1####.194.176.223:443
- TCP(TLS/1.0) bj####.j####.cn:443
- TCP(TLS/1.0) def####.cn.zb.####.com:443
- TCP(TLS/1.0) 64.2####.161.95:443
- TCP(TLS/1.0) res####.a####.com:443
- TCP(TLS/1.0) ce3e####.j####.cn:443
- TCP(TLS/1.0) gd-s####.j####.cn:443
- TCP(TLS/1.0) ali-s####.j####.cn:443
- TCP(TLS/1.2) 64.2####.164.94:443
- TCP(TLS/1.2) 64.2####.165.102:443
- TCP 1####.36.223.91:7003
- TCP sdk.o####.t####.####.com:5224
- UDP easytom####.com:19000
- TCP cm-1####.g####.com:5226
Запросы DNS:
- a####.a####.com
- a####.exc.mob.com
- a.a####.com
- ali-s####.j####.cn
- api.s####.mob.com
- bj####.j####.cn
- c-h####.g####.com
- cdn-sdk####.g####.com
- ce3e####.j####.cn
- cm-1####.g####.com
- d####.opensp####.cn
- easytom####.com
- f.gm.m####.com
- gd-s####.j####.cn
- in.dddr####.com
- in.dddr####.com.####.8
- mp####.a####.com
- res####.a####.com
- s.j####.cn
- scs.opensp####.cn
- sdk.c####.g####.com
- sdk.o####.p####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
- sis.j####.io
- t####.j####.cn
Запросы HTTP GET:
- a.a####.com/lbs/static/img/default_main_autonavi_logo@2x.png
- a.a####.com/lbs/static/img/default_main_autonavi_logo_night@2x.png
- cdn-sdk####.g####.com.####.cn/tdata_XYq933
- cdn-sdk####.g####.com.####.cn/tdata_pKN446
- cdn-sdk####.g####.com.####.cn/tdata_trp703
- cdn-sdk####.g####.com.####.cn/tdata_xEA084
- f.gm.m####.com/privacy/policy/ms/version?appkey=####&apppkg=####&appver=...
- sdk.c####.g####.####.cn/config/hzv9.conf
- sdk.o####.p####.####.com/api/addr.htm
Запросы HTTP POST:
- a####.exc.mob.com/errconf
- api.s####.mob.com/conf5
- api.s####.mob.com/conn
- api.s####.mob.com/snsconf
- c-h####.g####.com/api.php?format=####&t=####
- def####.cn.zb.####.com:443/ws/device/adius?ent=####&in=jFoU####&keyt=####
- mps.a####.com//ws/mps/lyrdata/ugc/?csid=####&key=####&ts=####&scode=####...
- mps.a####.com/ws/mps/rtt?csid=####&key=####&ts=####&scode=####&dip=####
- mps.a####.com/ws/mps/vmap?csid=####&key=####&ts=####&scode=####&dip=####
- res####.a####.com/v3/geocode/regeo
- res####.a####.com/v3/place/around
- res####.a####.com:443/v3/iasdkauth?key=####&ts=####&scode=####
- scs.opensp####.cn/index.php/clientrequest/clientcollect/isCollect
- scs.opensp####.cn/scs?cmd=####&logver=####&size=####
- sdk.o####.p####.####.com/api.php?format=####&t=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.artc_lock
- /data/data/####/.at_lock
- /data/data/####/.cl
- /data/data/####/.dic_lock
- /data/data/####/.duid
- /data/data/####/.dvcv_lock
- /data/data/####/.globalLock
- /data/data/####/.hptc_kache_.diandianclient
- /data/data/####/.im_lock
- /data/data/####/.jg.ic
- /data/data/####/.jgck
- /data/data/####/.lesd_lock
- /data/data/####/.lock
- /data/data/####/.mrecord
- /data/data/####/.mrecord (deleted)
- /data/data/####/.mrlock
- /data/data/####/.pkg_lock
- /data/data/####/.pkgs_lock
- /data/data/####/.statistics
- /data/data/####/.vpl_lock
- /data/data/####/04ced8e039c10b3e2b7bf339c471c540.0
- /data/data/####/0a2ee37de13a63b99e9d30f59177f1deafeaf739b9b42da....0.tmp
- /data/data/####/0a2ee37de13a63b99e9d30f59177f1deafeaf739b9b42da...b7e3.0
- /data/data/####/1101832444854.0
- /data/data/####/11114527108525.0
- /data/data/####/16114945854385.0
- /data/data/####/17100474854884.0
- /data/data/####/21114334852816.0
- /data/data/####/22102863214122.0
- /data/data/####/22114529369402.0
- /data/data/####/23103947680015.0
- /data/data/####/24104960306428.0
- /data/data/####/25103772291870.0
- /data/data/####/26107818125689.0
- /data/data/####/31102256820801.0
- /data/data/####/32187c60-1c35-49d3-bfc2-a92b99fe227d
- /data/data/####/34115939557779.0
- /data/data/####/3a0a916a-6c41-411f-be66-28027fc8a2ed
- /data/data/####/4103471399579.0
- /data/data/####/4107816242036.0
- /data/data/####/43107406570046.0
- /data/data/####/43124890785933.0
- /data/data/####/44107003181279.0
- /data/data/####/45100448739805.0
- /data/data/####/47106914485110.0
- /data/data/####/51124893183703.0
- /data/data/####/52100966959643.0
- /data/data/####/56105468083473.0
- /data/data/####/57104546717380.0
- /data/data/####/59103792291339.0
- /data/data/####/61102818977673.0
- /data/data/####/62114363817787.0
- /data/data/####/63101490141670.0
- /data/data/####/63124185791541.0
- /data/data/####/64105189237675.0
- /data/data/####/64107880858905.0
- /data/data/####/64b9f9f98932e5e77bf3c5425cca213c.0
- /data/data/####/65106660816692.0
- /data/data/####/66102512537499.0
- /data/data/####/70103939259683.0
- /data/data/####/71123687224714.0
- /data/data/####/72106890838589.0
- /data/data/####/7497685321806.0
- /data/data/####/75459802b17725dbb5220d6d65d0143e.0
- /data/data/####/76100949397030.0
- /data/data/####/82123689418623.0
- /data/data/####/86106884511151.0
- /data/data/####/86124183550270.0
- /data/data/####/87102469630621.0
- /data/data/####/8e84b428-0860-47ac-ad79-9404a23cf6f5
- /data/data/####/90103738798724.0
- /data/data/####/91e90302a8900ab4532a59ae3418e33d.0
- /data/data/####/95115941150926.0
- /data/data/####/98100269785417.0
- /data/data/####/98114943685969.0
- /data/data/####/98fd3405-c6c1-461f-afee-3ef32f22867b
- /data/data/####/DB_CLIENT-journal
- /data/data/####/IpInfos.xml
- /data/data/####/Push_Page_Config.xml
- /data/data/####/SharedPreferenceAdiu.xml
- /data/data/####/ThrowalbeLog.db-journal
- /data/data/####/a3d0f185c332b53204a14deb1fa7e2e9.0
- /data/data/####/a5a4de906b3a973f721be2fda1bfa381.0
- /data/data/####/alsn20170807.db
- /data/data/####/alsn20170807.db-journal
- /data/data/####/amap_web_logo.xml
- /data/data/####/amap_web_logo.xml.bak
- /data/data/####/approval_number.xml
- /data/data/####/b2272cdd056b73d27253ad5866ecd484.xml
- /data/data/####/bal.catch
- /data/data/####/ban.catch
- /data/data/####/base_path.xml
- /data/data/####/bwc.catch
- /data/data/####/c0586a10777146560765a69231d89beb.xml
- /data/data/####/c3a4767e-0c9a-4400-a15c-01d12b2a8858
- /data/data/####/c7b9c04aa2d8890467b5528c6c2da902.0
- /data/data/####/classes.dex
- /data/data/####/classes.dex;classes2.dex
- /data/data/####/classes.dex;classes3.dex
- /data/data/####/classes.dex;classes4.dex
- /data/data/####/classes.oat
- /data/data/####/cn.jiguang.common.xml
- /data/data/####/cn.jiguang.common.xml.bak
- /data/data/####/cn.jiguang.prefs.xml
- /data/data/####/cn.jiguang.sdk.address.xml
- /data/data/####/cn.jiguang.sdk.report.xml
- /data/data/####/cn.jiguang.sdk.share.profile.xml
- /data/data/####/cn.jiguang.sdk.user.profile.xml
- /data/data/####/cn.jpush.android.user.profile.xml
- /data/data/####/cn.jpush.config.xml
- /data/data/####/cn.jpush.config.xml.bak (deleted)
- /data/data/####/cn.jpush.preferences.v2.rid.xml
- /data/data/####/cn.jpush.preferences.v2.xml
- /data/data/####/com.iflytek.id.xml
- /data/data/####/com.iflytek.msc.xml
- /data/data/####/d707e2bd95079f4944536b36b5a02560.0
- /data/data/####/d7afbc6a38848a6801f6e449f3ec8e53.xml
- /data/data/####/da3b39db37239decc2c3674c34845468.0
- /data/data/####/f43668f341f7ca306c987630ad84c4a2.0
- /data/data/####/f4490c0b-d191-41be-a54c-5eccc8444f06
- /data/data/####/ff2fc7c2-b4e7-44b6-b550-fd05c9109edd
- /data/data/####/getui_sp.xml
- /data/data/####/gkt-journal
- /data/data/####/hmdb
- /data/data/####/hmdb-journal
- /data/data/####/iflytek_state_com.huage.diandianclient.xml
- /data/data/####/init.pid
- /data/data/####/init_c1.pid
- /data/data/####/journal
- /data/data/####/k.store
- /data/data/####/libjiagu.so
- /data/data/####/logdb.db
- /data/data/####/logdb.db-journal
- /data/data/####/maploc.xml
- /data/data/####/mob_commons_1
- /data/data/####/mob_sdk_exception_1
- /data/data/####/pref.xml
- /data/data/####/proc_auxv
- /data/data/####/push.pid
- /data/data/####/push_stat_cache.json
- /data/data/####/pushext.db-journal
- /data/data/####/pushg.db-journal
- /data/data/####/pushgdc.db-journal
- /data/data/####/pushsdk.db-journal
- /data/data/####/rl.catch
- /data/data/####/run.pid
- /data/data/####/share_sdk_1
- /data/data/####/shared_preferences_client.xml
- /data/data/####/shared_preferences_client.xml.bak
- /data/data/####/sharesdk.db-journal
- /data/data/####/tdata_XYq933
- /data/data/####/tdata_XYq933.dex
- /data/data/####/tdata_XYq933.dex.flock (deleted)
- /data/data/####/tdata_XYq933.jar
- /data/data/####/tdata_pKN446
- /data/data/####/tdata_pKN446.dex
- /data/data/####/tdata_pKN446.dex.flock (deleted)
- /data/data/####/tdata_pKN446.jar
- /data/data/####/tdata_trp703
- /data/data/####/tdata_trp703.dex
- /data/data/####/tdata_trp703.dex.flock (deleted)
- /data/data/####/tdata_trp703.jar
- /data/data/####/tdata_xEA084
- /data/data/####/tdata_xEA084.dex
- /data/data/####/tdata_xEA084.dex.flock (deleted)
- /data/data/####/tdata_xEA084.jar
- /data/media/####/.2F6E2C5B63F0F83B
- /data/media/####/._global.db
- /data/media/####/.adiu
- /data/media/####/.di
- /data/media/####/.mn_1666188972
- /data/media/####/.push_deviceid
- /data/media/####/.slw
- /data/media/####/232e.dat
- /data/media/####/232e.ind
- /data/media/####/am_font_model.dat
- /data/media/####/am_font_model.ind
- /data/media/####/am_font_model_ex.dat
- /data/media/####/amap.tmp (deleted)
- /data/media/####/app.db
- /data/media/####/bv2.ans
- /data/media/####/bv2.nal
- /data/media/####/bv2.nal (deleted)
- /data/media/####/com.getui.sdk.deviceId.db
- /data/media/####/com.huage.diandianclient.bin
- /data/media/####/com.huage.diandianclient.db
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/config_1_16_1563875151.data
- /data/media/####/gkt
- /data/media/####/gkt-journal
- /data/media/####/gktper (deleted)
- /data/media/####/global.db
- /data/media/####/guide_c.dat
- /data/media/####/guide_c.ind
- /data/media/####/hdmap_c.dat
- /data/media/####/hdmap_c.ind
- /data/media/####/icons_25_16_1579433127.data
- /data/media/####/iflyworkdir_test (deleted)
- /data/media/####/journal
- /data/media/####/journal.tmp
- /data/media/####/log-client-2023-04-30.txt
- /data/media/####/log_driver_20230430.txt
- /data/media/####/mapheat.dat
- /data/media/####/mapheat.ind
- /data/media/####/res_tm_14.db
- /data/media/####/sti_c.dat
- /data/media/####/sti_c.ind
- /data/media/####/style_0_16_1589163456.data
- /data/media/####/style_100_16_1593334109.data
- /data/media/####/style_1_16_1595502005.data
- /data/media/####/tdata_XYq933
- /data/media/####/tdata_pKN446
- /data/media/####/tdata_trp703
- /data/media/####/tdata_xEA084
- /data/media/####/test.log (deleted)
- /data/media/####/v8_indoor_db.dat
- /data/media/####/v8_indoor_db.ind
- /data/misc/####/primary.prof
Другие:
Запускает следующие shell-скрипты:
- cat /sys/class/net/wlan0/address
- ps
Загружает динамические библиотеки:
- libgetuiext3
- libjcore234
- libjiagu
- libmsc
- libpl_droidsonroids_gif
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-ECB-PKCS5Padding
- AES-ECB-PKCS7Padding
- RSA-ECB-OAEPWithSHA256AndMGF1Padding
- RSA-ECB-PKCS1Padding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-ECB-PKCS5Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
Запрашивает разрешение на отображение системных уведомлений.
