Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.3394
- Android.DownLoader.635.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) t####.3g.qq.com:80
- TCP(HTTP/1.1) mon####.uu.qq.com:80
- TCP(HTTP/1.1) pmi####.3g.qq.com:80
Запросы DNS:
- a.appj####.com
- m####.3g.qq.com
- mon####.uu.qq.com
- pmi####.3g.qq.com
- t####.3g.qq.com
- w####.qq.com
Запросы HTTP GET:
- t####.3g.qq.com/wifi/cw.html
Запросы HTTP POST:
- mon####.uu.qq.com/analytics/rqdsync
- pmi####.3g.qq.com/
Изменения в файловой системе:
Создает следующие файлы:
- /data/data-lib/####/arield.jar
- /data/data-lib/####/ipme
- /data/uswitch/usw.txt
- /system/etc/install-recovery.sh
- /system/usr/####/ikmsu
- <Package Folder>/.jiagu/libjiagu.so
- <Package Folder>/app_jgls/.log.lock
- <Package Folder>/app_jgls/.log.ls
- <Package Folder>/app_permission/ipme_2x
- <Package Folder>/app_permission/solo_km.10
- <Package Folder>/app_xavo/<Package>.apk
- <Package Folder>/applib/busybox
- <Package Folder>/applib/kd
- <Package Folder>/applib/kd.tmp
- <Package Folder>/applib/kmd
- <Package Folder>/applib/ktools
- <Package Folder>/applib/libNativeRQD.so
- <Package Folder>/applib/p_monitor2_x
- <Package Folder>/applib/supolicy
- <Package Folder>/applib/tools
- <Package Folder>/cache/MLFiletr.conf
- <Package Folder>/databases/eup_db
- <Package Folder>/databases/eup_db-journal
- <Package Folder>/databases/pure_log.db-journal
- <Package Folder>/databases/ss.db-journal
- <Package Folder>/files/####/.jg.ic
- <Package Folder>/files/23_wod.jar
- <Package Folder>/files/40234.dat
- <Package Folder>/files/40235.dat
- <Package Folder>/files/40250.dat
- <Package Folder>/files/40271.dat
- <Package Folder>/files/40306.dat
- <Package Folder>/files/40369.dat
- <Package Folder>/files/40388.dat
- <Package Folder>/files/40389.dat
- <Package Folder>/files/40419.dat
- <Package Folder>/files/SuTimeCtrl.dat
- <Package Folder>/files/arield.jar
- <Package Folder>/files/e_config
- <Package Folder>/files/firewall-2.0.2.dat
- <Package Folder>/files/ipme
- <Package Folder>/files/k_ul
- <Package Folder>/files/kulibs.conf
- <Package Folder>/files/nc-7.dex
- <Package Folder>/files/notify_bg_cache.png
- <Package Folder>/files/notify_wp_cache.png
- <Package Folder>/files/sc01
- <Package Folder>/files/sh.tmp
- <Package Folder>/shared_prefs/<Package>.xml
- <Package Folder>/shared_prefs/KingLib_actionStats.xml
- <Package Folder>/shared_prefs/accessSDKProperties.xml
- <Package Folder>/shared_prefs/action_state_new.xml
- <Package Folder>/shared_prefs/adb_statics_report.xml
- <Package Folder>/shared_prefs/app_share.xml
- <Package Folder>/shared_prefs/app_state.xml
- <Package Folder>/shared_prefs/ariel_stat.xml
- <Package Folder>/shared_prefs/dropbox_settings.xml
- <Package Folder>/shared_prefs/engine_config.xml
- <Package Folder>/shared_prefs/first_enable_script.xml
- <Package Folder>/shared_prefs/fk_applyRoot.xml
- <Package Folder>/shared_prefs/fk_applyRootByOther.xml
- <Package Folder>/shared_prefs/fk_reportRoot.xml
- <Package Folder>/shared_prefs/fn.dat.xml
- <Package Folder>/shared_prefs/jg_app_update_settings_random.xml
- <Package Folder>/shared_prefs/k_l_s.xml
- <Package Folder>/shared_prefs/kingcommon_setting.xml
- <Package Folder>/shared_prefs/km.conf.xml
- <Package Folder>/shared_prefs/km_access_setting.xml
- <Package Folder>/shared_prefs/km_conf_s.xml
- <Package Folder>/shared_prefs/km_setting.xml
- <Package Folder>/shared_prefs/km_su.xml
- <Package Folder>/shared_prefs/km_upd.xml
- <Package Folder>/shared_prefs/km_update_setting.xml
- <Package Folder>/shared_prefs/multidex.version.xml
- <Package Folder>/shared_prefs/n_dynamic.xml
- <Package Folder>/shared_prefs/notify_theme.xml
- <Package Folder>/shared_prefs/pmDataStats.xml
- <Package Folder>/shared_prefs/pmSmsDataStats.xml
- <Package Folder>/shared_prefs/pr02.xml
- <Package Folder>/shared_prefs/proc_start_statis.xml
- <Package Folder>/shared_prefs/procwall_log.xml
- <Package Folder>/shared_prefs/pure_state.xml
- <Package Folder>/shared_prefs/setting_fast_report.xml
- <Package Folder>/shared_prefs/tombstone.xml
- <SD-Card>/<Package>/####/0.webp
- <SD-Card>/<Package>/####/theme.zip
- <SD-Card>/<Package>/e_config
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/sh -c getprop ro.board.platform
- /system/bin/su
- /system/bin/toolbox chcon u:object_r:system_data_file:s0 /data/data-lib
- /system/bin/toolbox chcon u:object_r:system_data_file:s0 /data/data-lib/ariel
- /system/bin/toolbox chcon u:object_r:system_data_file:s0 /data/data-lib/ariel/<Package>
- /system/bin/toolbox chcon u:object_r:system_file:s0 /data/data-lib/ariel/<Package>/arield.jar
- /system/bin/toolbox chcon u:object_r:system_file:s0 /data/data-lib/ariel/<Package>/ipme
- <Package Folder>/applib/kd
- <Package Folder>/applib/kd --global
- app_process /system/bin com.android.commands.content.Content insert --uri content://settings/secure --bind name:s:enabled_notification_listeners --bind value:s:<Package>/com.kingroot.kingmaster.toolbox.accessibility.extras.KmAccessNotification
- app_process /system/bin com.android.commands.content.Content query --uri content://settings/global --projection value --where name='device_provisioned' and value='1'
- app_process /system/bin com.android.commands.content.Content query --uri content://settings/secure --projection value --where name='enabled_notification_listeners'
- chcon u:object_r:system_data_file:s0 /data/data-lib
- chcon u:object_r:system_data_file:s0 /data/data-lib/ariel
- chcon u:object_r:system_data_file:s0 /data/data-lib/ariel/<Package>
- chcon u:object_r:system_file:s0 /data/data-lib/ariel/<Package>/arield.jar
- chcon u:object_r:system_file:s0 /data/data-lib/ariel/<Package>/ipme
- chcon u:object_r:system_file:s0 /system/etc/install-recovery.sh
- chmod 0711 /data/data-lib
- chmod 0711 /data/data-lib/ariel
- chmod 0711 /data/data-lib/ariel/<Package>
- chmod 0755 /data/data-lib/ariel/<Package>/arield.jar
- chmod 0755 /data/data-lib/ariel/<Package>/ipme
- chmod 0755 /system/etc/install-recovery.sh
- chmod 0755 /system/usr/ikm
- chmod 0755 <Package Folder>/applib/kd
- chmod 0755 <Package Folder>/applib/kmd
- chmod 0755 <Package Folder>/applib/p_monitor2_x
- chmod 0755 <Package Folder>/files/23_wod.jar
- chmod 0764 <Package Folder>/applib/busybox
- chmod 0764 <Package Folder>/applib/ktools
- chmod 0764 <Package Folder>/applib/libNativeRQD.so
- chmod 0764 <Package Folder>/applib/supolicy
- chmod 0764 <Package Folder>/applib/tools
- chmod 0771 <Package Folder>/applib
- chmod 0777 /data/uswitch
- chmod 0777 /data/uswitch/usw.txt
- chmod 6755 /system/usr/ikm/ikmsu
- chmod 755 /data/data-lib/ariel/<Package>/arield.jar
- chmod 755 /data/data-lib/ariel/<Package>/ipme
- chmod 755 /dev/p_monitor2_x
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- chmod 755 <Package Folder>/app_permission/ipme_2x
- chmod 755 <Package Folder>/app_permission/solo_km.10
- chmod 755 <Package Folder>/files/firewall-2.0.2.dat
- chown 0.0 /system/etc/install-recovery.sh
- chown 0:0 /data/data-lib
- chown 0:0 /data/data-lib/ariel
- chown 0:0 /data/data-lib/ariel/<Package>
- chown 0:0 /data/data-lib/ariel/<Package>/arield.jar
- chown 0:0 /data/data-lib/ariel/<Package>/ipme
- dumpsys activity -a provider com.kingroot.common.framework.task.provider.KTaskProvider
- dumpsys iphonesubinfo
- getprop ro.board.platform
- id
- ku.sud
- ls /data/data-lib/ariel/<Package>
- ls /data/data-lib/ariel/<Package>/arield.jar
- ls /data/data-lib/ariel/<Package>/ipme
- mkdir /data/data-lib
- mkdir /data/data-lib/ariel
- mkdir /data/data-lib/ariel/<Package>
- mkdir /data/uswitch
- mkdir /system/usr/ikm
- mount -o remount -rw /system
- mount -o ro,remount /system /system
- ps
- ps k_ul
- rm /data/data-lib/ariel/<Package>/arield.jar
- rm /data/data-lib/ariel/<Package>/ipme
- rm /dev/p_monitor2_x
- rm /system/usr/ikm/ikmsu
- rm <Package Folder>/files/sh.tmp
- service list
- sh
- sh <Package Folder>/applib/kd
- sh <Package Folder>/applib/kd --global
- su -v
Загружает динамические библиотеки:
- Tmsdk-2.1
- libNativeRQD
- libjiagu
Использует повышенные привилегии.
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Осуществляет доступ к информации о зарегистрированных на устройстве аккаунтах (Google, Facebook и тд.).
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
