Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Adware.Dowgin.3.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) st####.idax####.org.####.com:80
- TCP(HTTP/1.1) app.idax####.org:80
- TCP(HTTP/1.1) t####.talking####.net:80
- TCP(HTTP/1.1) ai.wa.dao####.com:80
- TCP(TLS/1.0) wild####.q####.cn.####.net:443
- TCP(TLS/1.0) 1####.217.20.78:443
Запросы DNS:
- ai.wa.dao####.com
- app.idax####.org
- m####.q####.cn
- st####.idax####.org
- t####.talking####.net
Запросы HTTP GET:
- app.idax####.org/api/v1_0/ad/list
- app.idax####.org/api/v1_0/ad/welcome
- app.idax####.org/api/v1_0/art/info?id=####
- app.idax####.org/api/v1_0/art/list?pageSize=####&create_time=####&update...
- app.idax####.org/api/v1_0/art/list?pageSize=####&page=####
- st####.idax####.org.####.com/160fbcb350265f84a67cb037e392e557_thumb.jpeg
- st####.idax####.org.####.com/1b9e5137932c419ecb13381d78d3469c_thumb.jpeg
- st####.idax####.org.####.com/1d8464ea667d791a0034df5177d71c1f_thumb.jpeg
- st####.idax####.org.####.com/289c7b5ee0c3b97bcbdf30fb23879263_thumb.jpeg
- st####.idax####.org.####.com/5036b1a37ce3bf4f54d609f02962f5a4_thumb.jpeg
- st####.idax####.org.####.com/533d1861abff66bf6537642358d758b2_thumb.jpeg
- st####.idax####.org.####.com/59d98266e0651eeaf9fde3a341133bfe_thumb.jpeg
- st####.idax####.org.####.com/6cb17bacbf7db6b9f0ad2a8cf1ab5a94_thumb.jpeg
- st####.idax####.org.####.com/7d0e9df1e3d31a79633797904a1c06a1_thumb.jpeg
- st####.idax####.org.####.com/7df48186a95b34da6c8f607e591e74f0.jpeg
- st####.idax####.org.####.com/7df48186a95b34da6c8f607e591e74f0_thumb.jpeg
- st####.idax####.org.####.com/84a963bb1304f369413498cd99ceab56_thumb.jpeg
- st####.idax####.org.####.com/854e659a02b50f6d5d72c7f09d26cf5c_thumb.jpeg
- st####.idax####.org.####.com/9317fe1ffe1d374ed23044cff27f9d97_thumb.jpeg
- st####.idax####.org.####.com/962619b6e638287b00da7cbcb0df8826_thumb.jpeg
- st####.idax####.org.####.com/9a608bc1d945660942e1f24c63e5e9eb_thumb.jpeg
- st####.idax####.org.####.com/a70dc045e11ccd4475aa6d65f4f3f983_thumb.jpeg
- st####.idax####.org.####.com/ab1abf99c81430bb2f312cb9eb69847b_thumb.jpeg
- st####.idax####.org.####.com/c256ade4b70b5d5f840703821628086b.jpeg
- st####.idax####.org.####.com/c256ade4b70b5d5f840703821628086b_thumb.jpeg
- st####.idax####.org.####.com/d0aa44ea7dd130bd555630025bc51f3d_thumb.jpeg
- st####.idax####.org.####.com/d3a58a59171e5d4e46694f50d2691ff1_thumb.jpeg
- st####.idax####.org.####.com/d7cc402b399ee6ebe2177d57724c98c3_thumb.jpeg
- st####.idax####.org.####.com/d802ac6ee3b05e5d36c8d22798abffa4_thumb.jpeg
- st####.idax####.org.####.com/dddc99b8951a2e86dc5cc1b5317ad628_thumb.jpeg
- st####.idax####.org.####.com/ed3d4ac230723950a27ca317acf65b34_thumb.jpeg
- st####.idax####.org.####.com/edf51cb14037ca1d61490be3ddbdfd17_thumb.jpeg
Запросы HTTP POST:
- ai.wa.dao####.com/02ff7d758fdb/2ztdiordna/ba
- ai.wa.dao####.com/02ff7d758fdb/2ztdiordna/bb
- ai.wa.dao####.com/02ff7d758fdb/2ztdiordna/ia
- ai.wa.dao####.com/02ff7d758fdb/2ztdiordna/ib
- ai.wa.dao####.com/02ff7d758fdb/2ztdiordna/ie
- t####.talking####.net/g/d
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/TDtcagent.db
- /data/data/####/TDtcagent.db-journal
- /data/data/####/_gandroidtz_r.xml
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/elephant.db-journal
- /data/data/####/idaxiang_app_share_preferences_name.xml
- /data/data/####/index
- /data/data/####/oorg.idaxiang.androidtz.jar
- /data/data/####/pref_longtime.xml
- /data/data/####/pref_shorttime.xml
- /data/data/####/splash_adv.xml
- /data/data/####/td.lock
- /data/data/####/tdid.xml
- /data/data/####/user_plan.xml
- /data/data/####/webview.db-journal
- /data/media/####/.nomedia
- /data/media/####/.tcookieid
- /data/media/####/1026p82eh4rhj5psn7hndzu2v.0.tmp
- /data/media/####/18in9ltp339wr6mcyg2d8x0k4.0.tmp
- /data/media/####/1er3etvuztuldndr5v3z851ai.0.tmp
- /data/media/####/1g5uitgpp36tkpmzvr8z0ej2s.0.tmp
- /data/media/####/1hig342vx0rfbgedboo1v65rn.0.tmp
- /data/media/####/1ibgrcdhpy8lym8qrpd3zo9bm.0.tmp
- /data/media/####/1ojqavj92cuq8utbe2oe8unkk.0.tmp
- /data/media/####/1ym6v7tmj9vskz138o466lrgx.0.tmp
- /data/media/####/21i6cd3t0rdjqghvd82l3bxup.0.tmp
- /data/media/####/2c1l6q2y83inipjzcc2xj3kry.0.tmp
- /data/media/####/2kfeuu7tbug13dk5af6ngo6rj.0.tmp
- /data/media/####/2mrsnzgk03uugmo72iajx5lor.0.tmp
- /data/media/####/2vmnmehr1y5rz472c02yh2spj.0.tmp
- /data/media/####/2z49toddndcwcykqqe6vlxslp.0.tmp
- /data/media/####/3388rg6becqwvuoxvn1fmm8ow.0.tmp
- /data/media/####/37leh9n8l4izsp3ngial1w9ix.0.tmp
- /data/media/####/3bcrvoczxejosx1qku7ij4wm8.0.tmp
- /data/media/####/3h0l22svh4wlkvddy5g4sk67u.0.tmp
- /data/media/####/3jinvx8bo59agzlc9v6mtq9i8.0.tmp
- /data/media/####/3nnn9s6jj6e44eczkk11w6m3c.0.tmp
- /data/media/####/3ovbx1ing6m30ilco0pbdciik.0.tmp
- /data/media/####/3s206mkruzmcxigktb2o8naj1.0.tmp
- /data/media/####/40b7mv1cdq5d1f2cgae49wvh8.0.tmp
- /data/media/####/41ik7xi1vgxfsn1n6wiw8upgt.0.tmp
- /data/media/####/4fi8nze1t9u3clxcwoe5ax0ps.0.tmp
- /data/media/####/4h5aj2ddoohg5lf1qolyoh5fz.0.tmp
- /data/media/####/4j53c5ogx8ska86pctnubol6r.0.tmp
- /data/media/####/4j9gfcr8ygkubv72v50wo2zlt.0.tmp
- /data/media/####/4je2yz8r70b0i1q998ze6qnk8.0.tmp
- /data/media/####/4s23ieh70tdarf6sa2fdvd6l4.0.tmp
- /data/media/####/4xqp6uus375jzxio1r0v5tprv.0.tmp
- /data/media/####/54jjf5864m5efl240vtfykrbm.0.tmp
- /data/media/####/55i0z4fbtq72qgy4w2ca75fpp.0.tmp
- /data/media/####/58yspae0t0pndi4f0usp6fnrn.0.tmp
- /data/media/####/59mj7i6y8n3a5oa94dfb4jglg.0.tmp
- /data/media/####/5d6b5kxe8f12de3uw9rgl3h7b.0.tmp
- /data/media/####/5ep91qcyr9jw4umpt3u00yki.0.tmp
- /data/media/####/5lwuwk3ca9l1kqmfexasy3kit.0.tmp
- /data/media/####/5uzusct2by3zylhe1ed6k2r4u.0.tmp
- /data/media/####/5wd6vjfxvsevj2qs5px07luuq.0.tmp
- /data/media/####/5wyz04ybymaof7us3g7zszhvu.0.tmp
- /data/media/####/610ocv9cwdcqfxfozmxp6i3p0.0.tmp
- /data/media/####/615titg24myyelcqo2vst8mm3.0.tmp
- /data/media/####/61vqewsatgs7no1p3nnxxmgbg.0.tmp
- /data/media/####/65nxw7kezk5ss966xs22oplrb.0.tmp
- /data/media/####/68lk5csz5om069s2vogigjf4h.0.tmp
- /data/media/####/6f3dch97gcgmc8bjw6ccorpvl.0.tmp
- /data/media/####/6mdti0g0iu10wdor4goqparce.0.tmp
- /data/media/####/6qbu22ef7py415pgeefkmay0g.0.tmp
- /data/media/####/6qq2f0jje5vhfcjosorfq1ocl.0.tmp
- /data/media/####/6s8bv3ke53z46wgnselob6n6n.0.tmp
- /data/media/####/6wm7m9lirq7g3wuccnjtlmk98.0.tmp
- /data/media/####/6zeuzwjnpro89yhs42etol3hg.0.tmp
- /data/media/####/70tbv8icplomax7ygvublv0ek.0.tmp
- /data/media/####/7168xupy9pg84vdtc22spdlan.0.tmp
- /data/media/####/73c794svsmrzolxyl85tifw9a.0.tmp
- /data/media/####/75mhm8k2mjsjmx5c2z576xmwq.0.tmp
- /data/media/####/9myoiqg19b6zxvnsipnpzo2u.0.tmp
- /data/media/####/journal.tmp
- /data/media/####/le7b4y588ur6m5zgwq800506.0.tmp
- /data/media/####/rthypb5wuiy2nn9l784kf1og.0.tmp
- /data/media/####/srjpd94h3ma9vymvpxroo0f5.0.tmp
- /data/media/####/srp1sjzli0bh3h5sl9akmbej.0.tmp
- /data/media/####/tf86hns537oxmjb0su4itcxu.0.tmp
- /data/media/####/x1q4nkl7wnnmur4d3vrvnnzt.0.tmp
Другие:
Запускает следующие shell-скрипты:
- getprop
Использует следующие алгоритмы для шифрования данных:
- DES
Использует следующие алгоритмы для расшифровки данных:
- DES
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, IMEI и т. д.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
