Adware.Gexin.23596

Техническая информация

Вредоносные функции:

Выполняет код следующих детектируемых угроз:

Adware.Gexin.2.origin

Сетевая активность:

Подключается к:

UDP(DNS) <Google DNS>
TCP(HTTP/1.1) c-h####.g####.com:80
TCP(HTTP/1.1) sdk.c####.g####.####.cn:80
TCP(HTTP/1.1) sdk-ope####.g####.com:80
TCP(HTTP/1.1) cdn-sdk####.g####.com:80
TCP(HTTP/1.1) and####.b####.qq.com:80
TCP(HTTP/1.1) 1####.76.46.58:8075
TCP(TLS/1.0) 2####.58.211.227:443
TCP(TLS/1.0) u####.u####.com:443
TCP(TLS/1.0) manywin####.oss-cn-####.aliy####.com:443
TCP(TLS/1.0) 2####.239.38.223:443
TCP(TLS/1.0) www.gst####.com:443
TCP(TLS/1.0) gmscomp####.google####.com:443
TCP(TLS/1.0) plb####.u####.com:443
TCP(TLS/1.0) android####.go####.com:443
TCP(TLS/1.0) def####.duals####.cn.####.com:443
TCP(TLS/1.2) 1####.194.221.95:443
TCP(TLS/1.2) gmscomp####.google####.com:443
TCP(TLS/1.2) 1####.177.14.95:443
TCP(TLS/1.2) 2####.58.211.227:443
TCP(TLS/1.2) 1####.177.14.147:443
UDP rr12---####.g####.com:443
UDP 2####.58.211.238:443
UDP 2####.239.38.223:443
TCP cm-1####.g####.com:5224
TCP sdk.o####.t####.####.com:5224

Запросы DNS:

and####.b####.qq.com
android####.go####.com
c-h####.g####.com
cdn-sdk####.g####.com
cm-1####.g####.com
gmscomp####.google####.com
log.u####.com
manywin####.oss-cn-####.aliy####.com
plb####.u####.com
rr12---####.g####.com
sdk-ope####.g####.com
sdk.c####.g####.com
sdk.o####.p####.####.com
sdk.o####.t####.####.com
sdk.o####.t####.####.com
sdk.o####.t####.####.com
sdk.o####.t####.####.net
u####.u####.com
www.gst####.com

Запросы HTTP GET:

cdn-sdk####.g####.com/tdata_EAx630
cdn-sdk####.g####.com/tdata_EDB102
cdn-sdk####.g####.com/tdata_fPG280
cdn-sdk####.g####.com/tdata_kPg706
def####.duals####.cn.####.com:443/bar/get/5394196356240bd058119b64/?pcv=...
manywin####.oss-cn-####.aliy####.com:443/15cf6eb2-ffb1-478c-97d4-0874def...
manywin####.oss-cn-####.aliy####.com:443/44ddb7d5-0eab-4ab1-b6a1-159c15f...
manywin####.oss-cn-####.aliy####.com:443/951152b8-be66-4ce3-afef-4477584...
manywin####.oss-cn-####.aliy####.com:443/a4430336-6866-4a07-8ccc-f81229e...
sdk-ope####.g####.com/api/addr.htm
sdk.c####.g####.####.cn/config/hzv9.conf

Запросы HTTP POST:

and####.b####.qq.com/rqd/async?aid=####
c-h####.g####.com/api.php?format=####&t=####
plb####.u####.com:443/umpx_internal
plb####.u####.com:443/umpx_share
sdk-ope####.g####.com/api.php?format=####&t=####
sdk-ope####.g####.com/api.php?format=####&t=####&d=####&k=####
u####.u####.com:443/unify_logs

Изменения в файловой системе:

Создает следующие файлы:

/data/data/####/.dex2oatlock
/data/data/####/.imprint
/data/data/####/.updateIV.dat
/data/data/####/0000000lllll_0.dex
/data/data/####/000O00ll111l_0.dex
/data/data/####/00O000ll111l_0.dex
/data/data/####/00O000ll111l_0.dex (deleted)
/data/data/####/00O000ll111l_0.dex.flock
/data/data/####/00O000ll111l_0.dex.flock (deleted)
/data/data/####/0OO00l111l1l
/data/data/####/0OO00l111l1l.lock
/data/data/####/1004
/data/data/####/565a66fa
/data/data/####/7a5370918a8c
/data/data/####/Alvin2.xml
/data/data/####/AppConfig.xml
/data/data/####/ContextData.xml
/data/data/####/ManyWineApp.xml
/data/data/####/UM_PROBE_DATA.xml
/data/data/####/a==7.5.1&&1.0.0_1725838371443_envelope.log
/data/data/####/bugly_db_yaq-journal
/data/data/####/crashrecord.xml
/data/data/####/dW1weF9pbnRlcm5hbF8xNzI1ODM4Mzc1ODk1;
/data/data/####/dW1weF9pbnRlcm5hbF8xNzI1ODM4MzcxNDA3;
/data/data/####/dW1weF9zaGFyZV8xNzI1ODM4MzcyOTUx;
/data/data/####/dW1weF9zaGFyZV8xNzI1ODM4MzczMzQ1;
/data/data/####/exchangeIdentity.json
/data/data/####/exid.dat
/data/data/####/getui_sp.xml
/data/data/####/gkt-journal
/data/data/####/i==1.2.0&&1.0.0_1725838371678_envelope.log
/data/data/####/i==1.2.0&&1.0.0_1725838375888_envelope.log
/data/data/####/info.xml
/data/data/####/init.pid
/data/data/####/init_c1.pid
/data/data/####/libshellx-super.2019.so
/data/data/####/local_crash_lock
/data/data/####/local_crash_lock (deleted)
/data/data/####/map_record.txt
/data/data/####/native_record_lock
/data/data/####/native_record_lock (deleted)
/data/data/####/o0oooOO0ooOo.dat
/data/data/####/proc_auxv
/data/data/####/push.pid
/data/data/####/pushext.db-journal
/data/data/####/pushg.db-journal
/data/data/####/pushsdk.db
/data/data/####/pushsdk.db-journal
/data/data/####/reg_record.txt
/data/data/####/rqd_record.eup
/data/data/####/run.pid
/data/data/####/security_info
/data/data/####/share.db-journal
/data/data/####/tdata_EAx630
/data/data/####/tdata_EAx630.dex
/data/data/####/tdata_EAx630.dex.flock (deleted)
/data/data/####/tdata_EAx630.jar
/data/data/####/tdata_fPG280
/data/data/####/tdata_fPG280.dex
/data/data/####/tdata_fPG280.dex.flock (deleted)
/data/data/####/tdata_fPG280.jar
/data/data/####/tdata_kPg706
/data/data/####/tdata_kPg706.dex
/data/data/####/tdata_kPg706.dex.flock (deleted)
/data/data/####/tdata_kPg706.jar
/data/data/####/tomb_1725838371592.txt
/data/data/####/tomb_1725838376090.txt
/data/data/####/tomb_1725838379212.txt
/data/data/####/tosversion
/data/data/####/ua.db
/data/data/####/ua.db-journal
/data/data/####/um_pri.xml
/data/data/####/umeng_common_config.xml
/data/data/####/umeng_general_config.xml
/data/data/####/umeng_it.cache
/data/data/####/umeng_socialize.xml
/data/media/####/15cf6eb2-ffb1-478c-97d4-0874def5c096.jpg
/data/media/####/44ddb7d5-0eab-4ab1-b6a1-159c15ff2f84.jpg
/data/media/####/951152b8-be66-4ce3-afef-447758458f10.jpg
/data/media/####/Alvin2.xml
/data/media/####/ContextData.xml
/data/media/####/a4430336-6866-4a07-8ccc-f81229e03202.jpg
/data/media/####/app.db
/data/media/####/com.getui.sdk.deviceId.db
/data/media/####/com.igexin.sdk.deviceId.db
/data/media/####/com.shjh.manywine.bin
/data/media/####/com.shjh.manywine.db
/data/media/####/gkt
/data/media/####/gkt-journal
/data/media/####/gktper (deleted)
/data/media/####/sysid.dat
/data/media/####/tdata_EAx630
/data/media/####/tdata_fPG280
/data/media/####/tdata_kPg706
/data/media/####/test.log (deleted)
/data/misc/####/primary.prof

Другие:

Запускает следующие shell-скрипты:

/system/bin/cat /proc/cpuinfo
/system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
/system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
/system/bin/sh -c getprop
cat /proc/self/cgroup
cat /proc/uid_stat/10065/tcp_rcv
cat /proc/uid_stat/10065/tcp_snd
getprop
getprop ro.product.cpu.abi
logcat -d -v threadtime -s dalvikvm art zygote zygote64 OpenGLRenderer Bugly-libunwind:S
logcat -t 1000 -v threadtime Bugly-libunwind:S
ls /
ls /sys/class/thermal
mount
sh

Загружает динамические библиотеки:

libBugly-yaq
libgetuiext2
libshellx-super.2019

Использует следующие алгоритмы для шифрования данных:

AES-CBC-PKCS5Padding
AES-CBC-PKCS7Padding
AES-CFB-NoPadding
AES-ECB-PKCS5Padding
AES-GCM-NoPadding
RSA-ECB-PKCS1Padding
RSA-NONE-OAEPWithSHA1AndMGF1Padding

Использует следующие алгоритмы для расшифровки данных:

AES-CBC-PKCS7Padding
AES-ECB-PKCS5Padding
AES-GCM-NoPadding

Осуществляет доступ к приватному интерфейсу ITelephony.

Использует специальную библиотеку для скрытия исполняемого байт-кода.

Получает информацию о местоположении.

Получает информацию о сети.

Получает информацию о телефоне (номер, IMEI и т. д.).

Получает информацию об установленных приложениях.

Отрисовывает собственные окна поверх других приложений.

Запрашивает разрешение на отображение системных уведомлений.

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней