Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Осуществляет доступ к приватному интерфейсу ITelephony.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) ti####.c####.l####.####.com:80
- TCP(HTTP/1.1) sdk.o####.p####.####.com:80
- TCP(HTTP/1.1) qin####.com.www.####.com:80
- TCP(HTTP/1.1) t####.c####.q####.####.com:80
- TCP(HTTP/1.1) a####.tangxia####.com:80
- TCP(HTTP/1.1) rs.eas####.com:80
- TCP(HTTP/1.1) c-h####.g####.com:80
- TCP(HTTP/1.1) api.tangxia####.com:80
- TCP(TLS/1.0) et2-na6####.wagbr####.ali####.####.com:443
- TCP(TLS/1.0) a####.eas####.com:443
- TCP sdk.o####.t####.####.com:5224
- TCP c####.g####.ig####.com:5225
Запросы DNS:
- 7j####.c####.z0.####.com
- a####.eas####.com
- a####.tangxia####.com
- api.tangxia####.com
- c####.g####.ig####.com
- c-h####.g####.com
- log.u####.com
- pub-####.qin####.com
- rs.eas####.com
- s####.u####.com
- sdk.c####.ig####.com
- sdk.o####.p####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
Запросы HTTP GET:
- a####.tangxia####.com/upload/201703/25/201703251510485065.png
- a####.tangxia####.com/upload/201703/25/201703251533381071.png
- a####.tangxia####.com/upload/201703/25/201703251533497264.png
- a####.tangxia####.com/upload/201703/25/201703251533568993.png
- a####.tangxia####.com/upload/201703/25/201703251534082421.png
- a####.tangxia####.com/upload/201703/25/201703251534207881.png
- a####.tangxia####.com/upload/201703/25/201703251534370499.png
- a####.tangxia####.com/upload/201703/25/201703251534484660.png
- a####.tangxia####.com/upload/201703/25/201703251535008079.png
- a####.tangxia####.com/upload/201703/25/201703251535085237.png
- a####.tangxia####.com/upload/201703/25/201703251535221586.png
- a####.tangxia####.com/upload/201703/25/201703251535315522.png
- a####.tangxia####.com/upload/201703/25/201703251535525015.png
- a####.tangxia####.com/upload/201703/25/201703251536028649.png
- a####.tangxia####.com/upload/201704/26/201704261530342393.png
- a####.tangxia####.com/upload/201704/26/201704261530516962.png
- a####.tangxia####.com/upload/201711/04/thumb_201711041413500100.jpg
- a####.tangxia####.com/upload/201711/04/thumb_201711041420277175.jpg
- a####.tangxia####.com/upload/201712/23/thumb_201712231243551243.jpg
- a####.tangxia####.com/upload/201803/29/thumb_201803291211126185.jpg
- a####.tangxia####.com/upload/201803/29/thumb_201803291223417255.jpg
- a####.tangxia####.com/upload/201806/12/thumb_201806122316487981.jpg
- a####.tangxia####.com/upload/201806/12/thumb_201806122327334360.jpg
- a####.tangxia####.com/upload/201806/12/thumb_201806122331594516.jpg
- a####.tangxia####.com/upload/201806/22/thumb_201806221913127936.jpg
- a####.tangxia####.com/upload/201806/22/thumb_201806221919220352.jpg
- a####.tangxia####.com/upload/201806/25/thumb_201806252027463260.jpg
- a####.tangxia####.com/upload/201806/25/thumb_201806252030215057.jpg
- a####.tangxia####.com/upload/201806/27/thumb_201806271920205779.png
- a####.tangxia####.com/upload/201808/03/thumb_201808031255245974.jpg
- a####.tangxia####.com/upload/201808/29/thumb_201808291645225541.jpg
- a####.tangxia####.com/upload/201810/03/thumb_201810031049130005.jpg
- a####.tangxia####.com/upload/201810/08/thumb_201810081219489360.jpg
- a####.tangxia####.com/upload/201810/08/thumb_201810081221027808.jpg
- a####.tangxia####.com/upload/201810/08/thumb_201810081709035034.png
- a####.tangxia####.com/upload/201810/08/thumb_201810081939203139.jpg
- a####.tangxia####.com/upload/201810/08/thumb_201810082006175122.jpg
- a####.tangxia####.com/upload/201810/08/thumb_201810082009183589.jpg
- a####.tangxia####.com/upload/201810/08/thumb_201810082013408608.jpg
- a####.tangxia####.com/upload/201901/04/thumb_201901041241109897.jpg
- a####.tangxia####.com/upload/201901/24/thumb_201901241431347759.jpg
- a####.tangxia####.com/upload/201902/11/thumb_201902111925526315.jpeg
- a####.tangxia####.com/upload/201902/11/thumb_201902111938547351.jpeg
- a####.tangxia####.com/upload/201902/11/thumb_201902112012255583.JPG
- a####.tangxia####.com/upload/201902/11/thumb_201902112021569255.JPG
- a####.tangxia####.com/upload/201902/11/thumb_201902112058122771.JPG
- a####.tangxia####.com/upload/201902/11/thumb_201902112317149558.jpeg
- a####.tangxia####.com/upload/201902/11/thumb_201902112319585095.jpeg
- a####.tangxia####.com/upload/201902/11/thumb_201902112323536901.jpeg
- api.tangxia####.com/api/Goods/GetGoodsListByDate?daynew=####&spc_categro...
- api.tangxia####.com/api/Goods/GetHomepage?rnd=####&sign=####
- api.tangxia####.com/api/Home/GetAppAndroidUpdate?rnd=####&sign=####
- api.tangxia####.com/api/User/GetAnnouncementsList?page=####&pagesize=###...
- qin####.com.www.####.com/tdata_EDT369
- rs.eas####.com/easemob/server.json?sdk_version=####&app_key=####&file_ve...
- t####.c####.q####.####.com/tdata_AXX896
- t####.c####.q####.####.com/tdata_BAI450
- t####.c####.q####.####.com/tdata_Fus136
- ti####.c####.l####.####.com/config/hz-hzv3.conf
Запросы HTTP POST:
- c-h####.g####.com/api.php?format=####&t=####
- sdk.o####.p####.####.com/api.php?format=####&t=####
- sdk.o####.p####.####.com/api.php?format=####&t=####&d=####&k=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/.log.lock
- /data/data/####/.log.ls
- /data/data/####/0357c624b5190fdb95f9006e002a4058e3ca4569b0bbee6....0.tmp
- /data/data/####/03bef51a3ac1fe3763bfcbda74e336eae8bedbb757bad22....0.tmp
- /data/data/####/0ac26c01a6cdf221c67b07f6cf28af52d71ecb9b0f96f8d....0.tmp
- /data/data/####/10abb370da299bd7ccae06be3eee1b5065041d4d92ffb6a....0.tmp
- /data/data/####/1551281907546.log
- /data/data/####/17ccc0bb053fc91a6cba02bac81be513921b8877acd3e19....0.tmp
- /data/data/####/1922e64134f6cab6c98d33ed86c3c2e1962bf61db5eb15b....0.tmp
- /data/data/####/1a66fb9712e7d479315e9a1c3da579d0adbd3ebd30fc969....0.tmp
- /data/data/####/2a41d521333198b88a7becd0a69cf12c.0.tmp
- /data/data/####/2a41d521333198b88a7becd0a69cf12c.1.tmp
- /data/data/####/2c68a423e41b7abb1b80e57bad64efde95a86537f8a6ccc....0.tmp
- /data/data/####/2ee70359c2114a67ec70afa44ecec523bef56ab6e9da50f....0.tmp
- /data/data/####/2fa70bed589d77e9c99b0174d184c0ab0b5f6eac75f4700....0.tmp
- /data/data/####/31dc838997660a6daa2f2fcdecdc8dba.0.tmp
- /data/data/####/31dc838997660a6daa2f2fcdecdc8dba.1.tmp
- /data/data/####/33f6ea7e10ae90b26ec24c2f909226a7b021cb68a223066....0.tmp
- /data/data/####/3a37755272b84203ae595e589aeb50edc58790729f7d345....0.tmp
- /data/data/####/3d0302da441bb2fed0984929189672fa8ff6500bc56ec3f....0.tmp
- /data/data/####/3d240dd59447a5e2ea6224e6a04beae9.0.tmp
- /data/data/####/3d240dd59447a5e2ea6224e6a04beae9.1.tmp
- /data/data/####/539a416f5f7be7181b10f7ef4def93dc34e55de33f7cb05....0.tmp
- /data/data/####/53db6d8e5c0e3a54d056a682918d31e852146dda8d9f140....0.tmp
- /data/data/####/57df79115ba632ba14584d07f898edae.0.tmp
- /data/data/####/57df79115ba632ba14584d07f898edae.1.tmp
- /data/data/####/5987270005cf4211f2e9241b369d180e.0.tmp
- /data/data/####/5987270005cf4211f2e9241b369d180e.1.tmp
- /data/data/####/5c18c28e9c3996a846d0359d54056e01f19d57e65849965....0.tmp
- /data/data/####/607aabf19d36
- /data/data/####/61474e4da9d5b2c7b7d5c8dd8fb0aff6a907f7c6fa44e00....0.tmp
- /data/data/####/62c11561f9fec513972de99740ee6eab.0.tmp
- /data/data/####/62c11561f9fec513972de99740ee6eab.1.tmp
- /data/data/####/66c1e4d2d454c6b20e9372057ca24e27.0.tmp
- /data/data/####/66c1e4d2d454c6b20e9372057ca24e27.1.tmp
- /data/data/####/6d817789f9027ab64b6567595d981de1.0.tmp
- /data/data/####/6d817789f9027ab64b6567595d981de1.1.tmp
- /data/data/####/6dbeaf6e17fb695c63dd8e6be6c2ceefa8d07a1285369a7....0.tmp
- /data/data/####/776e3d91e4fe8387f3eb7d6e27a692843f00cf4ea72c70c....0.tmp
- /data/data/####/8339f06f38a36c3e2353d9430e017589c9fa4d1a32c1bf6....0.tmp
- /data/data/####/8b1d9884c3abc2ab962a382bfeaeeb602d2c6bd9985c8af....0.tmp
- /data/data/####/8c660794866828d5ba0ded1a7531a0a73a888d2892659b2....0.tmp
- /data/data/####/8f7a771f3e2b829570010a3baa31044938344c33f839a2d....0.tmp
- /data/data/####/95633c9ae95d34f7931d628904e9be0e.0.tmp
- /data/data/####/95633c9ae95d34f7931d628904e9be0e.1.tmp
- /data/data/####/ae5c44aaa4a70e0e5ffb620a96ffdd4ce90436b529a92f0....0.tmp
- /data/data/####/b0a73f16c9b80b08f58f7f910af28b80.0.tmp
- /data/data/####/b0a73f16c9b80b08f58f7f910af28b80.1.tmp
- /data/data/####/bd7e9d511dbdd1d03e878e45897785fd6388bd193392288....0.tmp
- /data/data/####/c032e19bb969e2fa74c109925a1a732aeebc93434bddc8f....0.tmp
- /data/data/####/c974d1a3053b7c5d75fa3c60213e0d4d.0.tmp
- /data/data/####/c974d1a3053b7c5d75fa3c60213e0d4d.1.tmp
- /data/data/####/cbcd456879183694c3bf3b075613f1621cfab7b675c4193....0.tmp
- /data/data/####/com.haitao.tangxiaodai_preferences.xml
- /data/data/####/config.json
- /data/data/####/d600f7fa47f7f3dc3fa56f4ae8632281.0.tmp
- /data/data/####/d600f7fa47f7f3dc3fa56f4ae8632281.1.tmp
- /data/data/####/d901b2bb86c284cbecd27543636713f4fb8a12ccecdb1e6....0.tmp
- /data/data/####/dd2974ba08546c41d1cd6b6e15370f44.0.tmp
- /data/data/####/dd2974ba08546c41d1cd6b6e15370f44.1.tmp
- /data/data/####/dd977eb393eff3a3e7f94b109acf1e93d15dc97d2fad4b6....0.tmp
- /data/data/####/device_id.xml.xml
- /data/data/####/e5261e700be86918f6bef18242c572fff8cb2a02a6c6c06....0.tmp
- /data/data/####/e972c76c4b98de7350af9796c0debcedaf9da42a63d8692....0.tmp
- /data/data/####/ec38fd245dc6ef06ad9348dd9f19b21910416aa3da3f86a....0.tmp
- /data/data/####/edd6d111100c204765e9a370250879dcfe6499b45133576....0.tmp
- /data/data/####/ee6882197949d2de24220951c6377170.0.tmp
- /data/data/####/ee6882197949d2de24220951c6377170.1.tmp
- /data/data/####/f0474a1a0530d9b0dbf2c17a1c8b47b8.0.tmp
- /data/data/####/f0474a1a0530d9b0dbf2c17a1c8b47b8.1.tmp
- /data/data/####/fb448165fa1887a888bc8daa5c6e260d.0.tmp
- /data/data/####/fb448165fa1887a888bc8daa5c6e260d.1.tmp
- /data/data/####/gdaemon_20161017
- /data/data/####/getui_sp.xml
- /data/data/####/gkt-journal
- /data/data/####/gx_sp.xml
- /data/data/####/init.pid
- /data/data/####/init_c1.pid
- /data/data/####/journal.tmp
- /data/data/####/libjiagu.so
- /data/data/####/push.pid
- /data/data/####/pushext.db-journal
- /data/data/####/pushg.db-journal
- /data/data/####/pushsdk.db-journal
- /data/data/####/run.pid
- /data/data/####/server.json
- /data/data/####/tdata_AXX896
- /data/data/####/tdata_AXX896.jar
- /data/data/####/tdata_BAI450
- /data/data/####/tdata_BAI450.jar
- /data/data/####/tdata_Fus136
- /data/data/####/tdata_Fus136.jar
- /data/data/####/umeng_socialize.xml
- /data/media/####/.nomedia
- /data/media/####/app.db
- /data/media/####/com.getui.sdk.deviceId.db
- /data/media/####/com.haitao.tangxiaodai.bin
- /data/media/####/com.haitao.tangxiaodai.db
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/gkt-journal
- /data/media/####/gktper
- /data/media/####/tangxiaodai.log
- /data/media/####/tdata_AXX896
- /data/media/####/tdata_BAI450
- /data/media/####/tdata_Fus136
- /data/media/####/test.log
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/files/gdaemon_20161017 0 <Package>/<Package>.moudle.service.PushService 25202 300 0
- cat /sys/class/net/wlan0/address
- chmod 700 <Package Folder>/files/gdaemon_20161017
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- mount
- sh <Package Folder>/files/gdaemon_20161017 0 <Package>/<Package>.moudle.service.PushService 25202 300 0
Загружает динамические библиотеки:
- getuiext2
- hyphenate
- libjiagu
- pl_droidsonroids_gif
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-NoPadding
- AES-CFB-NoPadding
- AES-ECB-PKCS5Padding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-NoPadding
- AES-ECB-PKCS5Padding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
