Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) def####.duals####.cn.####.com:80
- TCP(HTTP/1.1) sdk.l####.360.cn:80
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(HTTP/1.1) qos.l####.360.cn:80
- TCP(HTTP/1.1) cn-hang####.oss####.aliyun####.com:80
- TCP(HTTP/1.1) sdk.o####.p####.####.com:80
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) sdk.c####.g####.####.cn:80
- TCP(HTTP/1.1) c-h####.g####.com:80
- TCP(TLS/1.0) public-####.xinhu####.com:443
- TCP(TLS/1.0) img-x####.xinhu####.com:443
- TCP(TLS/1.0) and####.a####.go####.com:443
- TCP(TLS/1.0) res####.a####.com:443
- TCP(TLS/1.0) xhpf####.zhonggu####.com:443
- TCP(TLS/1.0) 2####.239.32.223:443
- TCP(TLS/1.0) 64.2####.164.94:443
- TCP(TLS/1.0) rr2---s####.g####.com:443
- TCP(TLS/1.0) gmscomp####.google####.com:443
- TCP(TLS/1.2) 87.2####.216.173:443
- TCP(TLS/1.2) 64.2####.164.94:443
- TCP(TLS/1.2) gmscomp####.google####.com:443
- TCP(TLS/1.2) 64.2####.161.139:443
- TCP(TLS/1.2) 1####.177.14.99:443
- TCP cm-1####.g####.com:5226
- TCP sdk.o####.t####.####.net:5224
- TCP xhpf####.zhonggu####.com:443
Запросы DNS:
- a####.u####.com
- and####.a####.go####.com
- and####.b####.qq.com
- and####.cli####.go####.com
- and####.google####.com
- c####.b####.com
- c-h####.g####.com
- cdn-sdk####.g####.com
- cm-1####.g####.com
- cn-hang####.oss####.aliyun####.com
- dot.xinhuaz####.com
- gmscomp####.google####.com
- hw####.o####.t####.####.cn
- hw####.o####.t####.####.com
- img-x####.xinhu####.com
- log.u####.com
- pla####.googleu####.com
- public-####.xinhu####.com
- qos.l####.360.cn
- re####.gz.baid####.com
- res####.a####.com
- rr2---s####.g####.com
- s####.u####.com
- sdk.c####.g####.com
- sdk.l####.360.cn
- sdk.o####.p####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
- xhpf####.xinhu####.com
- xhpf####.zhonggu####.com
Запросы HTTP GET:
- cn-hang####.oss####.aliyun####.com/amap-api/comm/upload/CoordinateSoEnhe...
- def####.duals####.cn.####.com/bar/get/57c4f1c667e58e8a8e000eac/?ud_get=#...
- qos.l####.360.cn/vc.gif?bid=####&pid=####&ver=####&sdk_ver=####&os=####&...
- sdk.c####.g####.####.cn/config/hzwxhotbak1.conf
- sdk.l####.360.cn/codec?sdkver=####&bid=####&pid=####&mid=####&ver=####&m...
- sdk.l####.360.cn/rtc?model=####
- sdk.l####.360.cn/xinhuashe_android_0.0.conf
Запросы HTTP POST:
- a####.u####.com/app_logs
- and####.b####.qq.com/rqd/async?aid=####
- c-h####.g####.com/api.php?format=####&t=####
- sdk.o####.p####.####.com/api.php?format=####&t=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/1004
- /data/data/####/17154c61bfec8b56f5f9cbd173b7f3f11b15b35cece68e7...b838.0
- /data/data/####/1720547512988.log
- /data/data/####/1d2b904cbeadfb72ed9546111a231c85.0
- /data/data/####/315f7e186e8fa4516b08d6be4628388e01e2218d542e2dc...67f9.0
- /data/data/####/48adecad179b99fadf18142933f2a9882cf39efb594a919....0.tmp
- /data/data/####/48adecad179b99fadf18142933f2a9882cf39efb594a919...ee93.0
- /data/data/####/4ea5ed31dcfb642fae86d7e266553157680a89f7b08fa3b...09ce.0
- /data/data/####/5e3b9e5558746acca389454c6814c52f1b73537000cc409...7630.0
- /data/data/####/5e8332b8b8ba8d794501929839f747118dbbeb9f570dcad...3c13.0
- /data/data/####/684ddc4f6a7874c234c2e64ed00c4bdc78a91e091ee8a67....0.tmp
- /data/data/####/684ddc4f6a7874c234c2e64ed00c4bdc78a91e091ee8a67...5ffd.0
- /data/data/####/699483f676343389c3562b40221d358efb4afe1c73984b3...62bd.0
- /data/data/####/79ccaed9b529e7414712a2304fdd51e6accddd95986ddd7....0.tmp
- /data/data/####/79ccaed9b529e7414712a2304fdd51e6accddd95986ddd7...d371.0
- /data/data/####/9ed372ce2114d3c070aad507951d06d4dd83db0fc9a45f6....0.tmp
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/Cookies-journal
- /data/data/####/SP_AROUTER_CACHE.xml
- /data/data/####/SP_AROUTER_CACHE.xml.bak
- /data/data/####/WebViewChromiumPrefs.xml
- /data/data/####/__Baidu_Stat_SDK_SendRem.xml
- /data/data/####/__local_stat_cache.json
- /data/data/####/__send_data_1720547510075
- /data/data/####/__send_data_1720547512078
- /data/data/####/__send_data_1720547526017
- /data/data/####/_tmp_PRIORITIZED_3990_1720547508519
- /data/data/####/_tmp_PRIORITIZED_3990_1720547509831
- /data/data/####/_tmp_PRIORITIZED_4119_1720547511859
- /data/data/####/_tmp_PRIORITIZED_4119_1720547513115
- /data/data/####/b6a9a09d1be0a859b62db6114bde610871eddcfa2ba08dc...c482.0
- /data/data/####/bugly_db_-journal
- /data/data/####/bullet_PRIORITIZED_4119_1720547513115
- /data/data/####/bullet_PRIORITIZED_4119_1720547575021
- /data/data/####/classes.dex
- /data/data/####/classes.oat
- /data/data/####/classes2.dex
- /data/data/####/classes3.dex
- /data/data/####/classes4.dex
- /data/data/####/config_new.xml
- /data/data/####/crashrecord.xml
- /data/data/####/ef16b9d101d66fba690f180964c5beee27a3537c68c1d43...1e99.0
- /data/data/####/getui_sp.xml
- /data/data/####/hmdb
- /data/data/####/hmdb-journal
- /data/data/####/index
- /data/data/####/index_news_list_cid_470_tid4001.pt
- /data/data/####/init.pid
- /data/data/####/init_c1.pid
- /data/data/####/jg_so_upgrade_setting.xml
- /data/data/####/journal
- /data/data/####/k.store
- /data/data/####/libcuid.so
- /data/data/####/libjiagu.so
- /data/data/####/libwgs2gcj.so
- /data/data/####/live_classify_menu.pt
- /data/data/####/live_news_list_tid_10.pt
- /data/data/####/live_news_list_tid_9.pt
- /data/data/####/local_crash_lock
- /data/data/####/loctemp.so (deleted)
- /data/data/####/logdb.db
- /data/data/####/logdb.db-journal
- /data/data/####/metrics_guid
- /data/data/####/net.xinhuamm.mainclient_preferences.xml
- /data/data/####/pref.xml
- /data/data/####/proc_auxv
- /data/data/####/push.pid
- /data/data/####/pushsdk.db-journal
- /data/data/####/pushservice__local_stat_cache.json
- /data/data/####/run.pid
- /data/data/####/security_info
- /data/data/####/sp.livecloud.database.xml
- /data/data/####/the-real-index
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/umeng_socialize.xml
- /data/data/####/xhs_encrypted.db-journal
- /data/data/####/zlc_season_rxdownload_download.db-journal
- /data/data/####/zy_unique_id.bin
- /data/media/####/.cuid2
- /data/media/####/1720547519655.db (deleted)
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/XinHuaShe_release_v926.apk
- /data/media/####/XinHuaShe_release_v926.apk.lmf
- /data/media/####/XinHuaShe_release_v926.apk.tmp
- /data/media/####/alsn20170807.db
- /data/media/####/alsn20170807.db-journal
- /data/media/####/app.db
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/logs.txt
- /data/media/####/net.xinhuamm.mainclient.bin
- /data/media/####/net.xinhuamm.mainclient.db
- /data/misc/####/primary.prof
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop
- /system/bin/sh -c type su
- chmod 755 /data/user/0/<Package>/.jiagu/libjiagu.so
- getprop
Загружает динамические библиотеки:
- libgetuiext2
- libijkffmpeg
- libijkplayer
- libijksdl
- libjiagu
- libtranscore
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-NoPadding
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS5Padding
- AES-GCM-NoPadding
- DESede-ECB-PKCS5Padding
- RSA-ECB-PKCS1Padding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
- desede-ECB-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-GCM-NoPadding
- DES
- DESede-ECB-PKCS5Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
Запрашивает разрешение на отображение системных уведомлений.
