Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Осуществляет доступ к приватному интерфейсу ITelephony.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- UDP(DNS) 1####.114.114.114:53
- TCP(HTTP/1.1) reso####.msg.xi####.net:80
- TCP(HTTP/1.1) sh.wagbr####.aliyun####.com:80
- TCP(HTTP/1.1) 1####.185.144.108:80
- TCP(HTTP/1.1) 2####.243.236.22:80
- TCP(HTTP/1.1) anal####.tua####.com:80
- TCP(HTTP/1.1) res####.a####.com:80
- TCP(HTTP/1.1) z11.tua####.com.####.com:80
- TCP(HTTP/1.1) pi####.qq.com:80
- TCP(HTTP/1.1) 1####.254.116.117:80
- TCP(TLS/1.0) 1####.217.168.206:443
- TCP(TLS/1.0) res####.a####.com:443
- TCP(TLS/1.0) hotfix####.aliy####.com:443
- TCP maa####.chinane####.com:6666
- TCP 47.74.1####.158:5222
- TCP 4####.62.94.2:443
- TCP t####.qq.com:14000
Запросы DNS:
- a####.man.aliy####.com
- amap####.cn-hang####.oss####.####.com
- anal####.tua####.com
- api####.a####.com
- hotfix####.aliy####.com
- maa####.chinane####.com
- pi####.qq.com
- res####.a####.com
- reso####.msg.xi####.net
- t####.qq.com
- z11.tua####.com
Запросы HTTP GET:
- reso####.msg.xi####.net/gslb/?ver=####&type=####&conpt=####&uuid=####&li...
- sh.wagbr####.aliyun####.com/sdkcoor/android/x86/libJni_wgs2gcj.so
- z11.tua####.com.####.com/bi/sca/android_043000_tao800.json?time=####
Запросы HTTP POST:
- anal####.tua####.com/mobilelog/errorlog/android.gif
- pi####.qq.com/mstat/report/?index=####
- res####.a####.com/v3/log/init
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.com.tuan800.tao800;pushservice.xg.stat..xml
- /data/data/####/.jg.ic
- /data/data/####/.tpns.service.xml.xml
- /data/data/####/.tpns.settings.xml.xml
- /data/data/####/.tpush_mta.xml
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/WSPXCrashPreference.xml
- /data/data/####/XMPushServiceConfig.xml
- /data/data/####/atlas_configs.xml
- /data/data/####/com.tuan800.tao800.userCenter.xml
- /data/data/####/com.tuan800.tao800;pushservice
- /data/data/####/com.tuan800.tao800SWITCH_SP.xml
- /data/data/####/com.tuan800.tao800_jump_to_h5_url.xml
- /data/data/####/com.tuan800.tao800_jump_to_h5_url.xml.bak
- /data/data/####/com.tuan800.tao800_npi.xml
- /data/data/####/com.tuan800.tao800_order.xml
- /data/data/####/com.tuan800.tao800_pintuan.xml
- /data/data/####/com.tuan800.tao800_preferences.xml
- /data/data/####/com.tuan800.tao800_sign.xml
- /data/data/####/com.tuan800.tao800_user_center.xml
- /data/data/####/com.tuan800.tao800collected_brand.xml
- /data/data/####/com.tuan800.tao800static_file_click_model.xml
- /data/data/####/com.tuan800.tao800static_file_exp.xml
- /data/data/####/com.tuan800.tao800static_file_mobilelog.xml
- /data/data/####/com.tuan800.tao800static_file_model.xml
- /data/data/####/com.tuan800.tao800static_file_outclick.xml
- /data/data/####/com.tuan800.tao800static_file_page.xml
- /data/data/####/com.tuan800.tao800static_file_pageclick.xml
- /data/data/####/com.tuan800.tao800static_file_setkey_value.xml
- /data/data/####/com.tuan800.tao800static_file_share.xml
- /data/data/####/com.tuan800.tao800static_file_static.xml
- /data/data/####/device_id.xml
- /data/data/####/dynamicamapfile.db
- /data/data/####/dynamicamapfile.db-journal
- /data/data/####/event_com.tuan800.tao800.log
- /data/data/####/event_com.tuan800.tao800;pushservice.log
- /data/data/####/geofencing.db
- /data/data/####/geofencing.db-journal
- /data/data/####/hmdb
- /data/data/####/hmdb-journal
- /data/data/####/jg_so_upgrade_setting.xml
- /data/data/####/libjiagu.so
- /data/data/####/lock
- /data/data/####/lock.tmp
- /data/data/####/loctemp.so
- /data/data/####/matosdk_preference.xml
- /data/data/####/matosdk_preference_pushservice.xml
- /data/data/####/meta
- /data/data/####/mipush.xml
- /data/data/####/mipush_account.xml
- /data/data/####/mipush_extra.xml
- /data/data/####/multidex.version.xml
- /data/data/####/pref.xml
- /data/data/####/qihoo_jiagu_crash_report.xml
- /data/data/####/sp_sophix.xml
- /data/data/####/tao800.db-journal
- /data/data/####/tpush.shareprefs.xml
- /data/data/####/wspx
- /data/media/####/.mid.txt
- /data/media/####/.nomedia
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/android_043000_tao800.json
- /data/media/####/log.lock
- /data/media/####/log1.txt
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/lib/libxguardian.so <Package>,2100252513;<Package>,2100252513; 55167 203.205.128.130 [{"idx":0,"ts":%d,"et":2000,"si":0,"ui":"<IMEI>","ky":"Axg%lu","mid":"56562103ca948d86af210fe384ee2f537172b4a9","ev":{"ov":"18","sr":"600*752","md":"<System Property>","lg":"en","sv":"3.0","mf":"unknown","apn":"%s"}}] 0 18
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- sh <Package Folder>/lib/libxguardian.so <Package>,2100252513;<Package>,2100252513; 55167 203.205.128.130 [{ idx :0, ts :%d, et :2000, si :0, ui : <IMEI> , ky : Axg%lu , mid : 56562103ca948d86af210fe384ee2f537172b4a9 , ev :{ ov : 18 , sr : 600*752 , md : <System Property> , lg : en , sv : 3.0 , mf : unknown , apn : %s }}] 0 18
Загружает динамические библиотеки:
- com.maa
- dalvikhack
- dalvikpatch
- libjiagu
- sqlcipher
- tpnsSecurity
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CFB8-NoPadding
- RSA-ECB-PKCS1PADDING
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-CFB8-NoPadding
- DES-ECB-PKCS5Padding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию о настроках APN.
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Управляет Wi-Fi-подключением.
