Техническая информация
Вредоносные функции:
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.0) tcms-a####.wan####.ta####.com:443
- TCP(HTTP/1.1) w####.q####.dn.####.com:80
- TCP(HTTP/1.1) c.d####.mob.com:80
- TCP(HTTP/1.1) a####.exc.mob.com:80
- TCP(HTTP/1.1) s.haowa####.com:8900
- TCP(HTTP/1.1) haowa####.oss.aliy####.com:80
- TCP(HTTP/1.1) m.d####.mob.com:80
- TCP(HTTP/1.1) msg.umengc####.com:80
- TCP(HTTP/1.1) tcms-op####.wan####.ta####.com:80
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) a####.m.ta####.com:80
- TCP(HTTP/1.1) w####.ta####.com:80
- TCP(HTTP/1.1) a####.a####.m.####.com:80
- TCP(SSL/3.0) a####.a####.m.####.com:443
- TCP(TLS/1.0) msg.umengc####.com:443
- TCP(TLS/1.0) s.haowa####.com:8008
- TCP(TLS/1.0) a####.a####.m.####.com:443
- TCP umengj####.m.ta####.com:443
- TCP ope####.m.ta####.com:443
- TCP 2####.204.101.107:80
- TCP zhizhi####.com:5222
Запросы DNS:
- _ja####._####.zhizhi####.com
- _xmpp-c####._####.zhizhi####.com
- a####.exc.mob.com
- a####.m.ta####.com
- a####.m.ta####.com
- a####.u####.com
- ag####.m.ta####.com
- c.d####.mob.com
- haowa####.oss.aliy####.com
- haowa####.qin####.com
- hotp####.wan####.ta####.com
- m.d####.mob.com
- msg.umengc####.com
- s.haowa####.com
- tcms-a####.wan####.ta####.com
- tcms-op####.wan####.ta####.com
- umen####.m.ta####.com
- umengj####.m.ta####.com
- w####.ta####.com
- zhizhi####.com
Запросы HTTP GET:
- a####.m.ta####.com/rest/abtest?logid=####&ak=####&av=####&c=####&v=####&...
- haowa####.oss.aliy####.com/10e75e01c47e3f956f8145cbde13da83
- haowa####.oss.aliy####.com/172fda07000a5dcb8ee5d5a6a826f037
- haowa####.oss.aliy####.com/180d5ccb10541052b866a93015ac88e8
- haowa####.oss.aliy####.com/26c22565549dc40c87ae0acb79850ded
- haowa####.oss.aliy####.com/6282ae1c13456709c702c248253f687e
- haowa####.oss.aliy####.com/6d726ee518da7c3c6817d92092e4a8ec
- haowa####.oss.aliy####.com/725a17a6a9762a2a12c8624db5240247
- haowa####.oss.aliy####.com/916ee0f7ecf89ac4f38ecc3e0811abca
- haowa####.oss.aliy####.com/a795a88c45d030ae767b30b6b80d65fd
- haowa####.oss.aliy####.com/ae645431d3111f77cef781051f0cad0a
- haowa####.oss.aliy####.com/b6b0758de70b43974067681dd2d49b06
- haowa####.oss.aliy####.com/c863fc9caa0632a4eb8de17d6fc59554
- haowa####.oss.aliy####.com/cbd55ba0d54288da4e64edda5ea55cad
- haowa####.oss.aliy####.com/e0e99f37bfa7ccb271a4b7d73adb4b92
- haowa####.oss.aliy####.com/e64a0806b8b006f815ea63a579bd96d6
- m.d####.mob.com/v3/cconf?appkey=####&plat=####&apppkg=####&appver=####&n...
- s.haowa####.com:8900/RegisterDemo1/servlet/GetAppreClassInfo?jid=####
- s.haowa####.com:8900/RegisterDemo1/servlet/GetAppreciation?jid=####&acti...
- s.haowa####.com:8900/RegisterDemo1/servlet/GetComList?noteid=####&visid=...
- s.haowa####.com:8900/RegisterDemo1/servlet/GetGoodNote?currentnum=####&n...
- s.haowa####.com:8900/RegisterDemo1/servlet/GetInvcode?jid=####
- s.haowa####.com:8900/RegisterDemo1/servlet/GetNewsList?jid=####&newsid=#...
- s.haowa####.com:8900/RegisterDemo1/servlet/GetNoteInfo?noteid=####&jid=#...
- s.haowa####.com:8900/RegisterDemo1/servlet/GetRecomUser?page=####&subtyp...
- s.haowa####.com:8900/RegisterDemo1/servlet/GetUserInfo?jid=####&vsjid=####
- s.haowa####.com:8900/RegisterDemo1/servlet/HuabarMarket?type=####&warety...
- s.haowa####.com:8900/RegisterDemo1/servlet/SyncSp?jid=####
- s.haowa####.com:8900/RegisterDemo1/servlet/UpLoadUmToken?jid=####&passwd...
- tcms-a####.wan####.ta####.com:443/imlogingw/tcp60login?devid=####&ver=####
- tcms-op####.wan####.ta####.com/getapprule?appkey=####&appId=####
- w####.q####.dn.####.com/0208d3e670247174e3c0bb5d168251b7
- w####.q####.dn.####.com/0d8d8991b04950b07ddde6dc32aa3bad
- w####.q####.dn.####.com/20f651b225914d139ac19df05c36503b
- w####.q####.dn.####.com/35537aaa3f44b5ff48e04f28707625bf
- w####.q####.dn.####.com/4f96e70ed11d7951c6a0be6a3c0ab794
- w####.q####.dn.####.com/5059458ca6e04473b0842e703609222b
- w####.q####.dn.####.com/58089e31c090a413928eeab1e8efd6b0
- w####.q####.dn.####.com/6604d811ae598138139e586ef945f041
- w####.q####.dn.####.com/7db1af3cd7e27a4d9cd20cb64a2ed506
- w####.q####.dn.####.com/84cf250454f6c30aa30539541bb11e48
- w####.q####.dn.####.com/8ce623e740d867c0c8fda394e0308590
- w####.q####.dn.####.com/929600b915b5cc3ce8182552b6f835b4
- w####.q####.dn.####.com/c356f4cb6077dbaa0f1fe985f6e26e77
- w####.q####.dn.####.com/c3f6ccc4e9672f04b9935a72b825c96a
- w####.q####.dn.####.com/c8007e6719b59efcd14757633b13288c
- w####.q####.dn.####.com/de104657b1fc42cdc8cfa6b50f5ca007
- w####.q####.dn.####.com/e45869fc708658104bd787ac8ffd9203
Запросы HTTP POST:
- a####.a####.m.####.com/amdc/mobileDispatch?appkey=####&platform=####&v=#...
- a####.exc.mob.com/errconf
- a####.m.ta####.com/rest/gc?dd=####&nsgs=####&ak=####&av=####&c=####&v=##...
- a####.m.ta####.com/rest/sur?ak=####&av=####&c=####&v=####&s=####&d=####&...
- a####.u####.com/app_logs
- c.d####.mob.com/v2/cdata
- msg.umengc####.com/register
- w####.ta####.com/api/user/getUser.json
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.lock
- /data/data/####/05186c744cb4731231c5da07686feaca.0.tmp
- /data/data/####/05186c744cb4731231c5da07686feaca.1.tmp
- /data/data/####/1d2b904cbeadfb72ed9546111a231c85.0
- /data/data/####/1gzBG8ITH8FAEnw77KW9dGzA2SU.-910481950.tmp
- /data/data/####/1suXAFQMlqfDJA76qhElmj0dnaM.318014898.tmp
- /data/data/####/2007bac6132c2cc6b71eee0d99d4d568.0.tmp
- /data/data/####/2007bac6132c2cc6b71eee0d99d4d568.1.tmp
- /data/data/####/24c110e1f76093b35c3c2df1927aab79.0
- /data/data/####/2573872da2a6c20cc79ef4eeaf61e375.0.tmp
- /data/data/####/2573872da2a6c20cc79ef4eeaf61e375.1.tmp
- /data/data/####/3579634740731fb6ec958d1ebd499742.0.tmp
- /data/data/####/3579634740731fb6ec958d1ebd499742.1.tmp
- /data/data/####/374c687e08a3c0b42143a9bba077a58c.0.tmp
- /data/data/####/374c687e08a3c0b42143a9bba077a58c.1.tmp
- /data/data/####/37c292e5a2f8e242cab1d90187fd104b.0.tmp
- /data/data/####/37c292e5a2f8e242cab1d90187fd104b.1.tmp
- /data/data/####/3Tbvvq9rtqPR-jX7wSV__f7tNBE.-48104318.tmp
- /data/data/####/3xQmMXM9ZSBPRtCtJwqOZd3-8Bw.1956629732.tmp
- /data/data/####/4b354f9dd6cfafa3b09035b1128b8273.0.tmp
- /data/data/####/4b354f9dd6cfafa3b09035b1128b8273.1.tmp
- /data/data/####/50xTjmgOpoCaKW08ck7RvTMIPjA.1774168656.tmp
- /data/data/####/589074ed6a9f7a83faf27ee03d88f470.0.tmp
- /data/data/####/589074ed6a9f7a83faf27ee03d88f470.1.tmp
- /data/data/####/5fdd86e09afbb6720d0a2d0dd0f24b33.0.tmp
- /data/data/####/5fdd86e09afbb6720d0a2d0dd0f24b33.1.tmp
- /data/data/####/611422519cd3f0ce6b3dad08f7e33c2a.0.tmp
- /data/data/####/611422519cd3f0ce6b3dad08f7e33c2a.1.tmp
- /data/data/####/73d2bef81631c4cc67a0a28a7a2f4bef.0.tmp
- /data/data/####/73d2bef81631c4cc67a0a28a7a2f4bef.1.tmp
- /data/data/####/75faacc6d47ddb0a6f16f0a452637368.0.tmp
- /data/data/####/75faacc6d47ddb0a6f16f0a452637368.1.tmp
- /data/data/####/885da7fdf71e60dde5c07e37b77e9a78-journal
- /data/data/####/88c8f1c4ddb3969f8b1fffea32325b9e.0.tmp
- /data/data/####/88c8f1c4ddb3969f8b1fffea32325b9e.1.tmp
- /data/data/####/8b2d3ee3927aa970958ee0cb7b597183.0.tmp
- /data/data/####/8b2d3ee3927aa970958ee0cb7b597183.1.tmp
- /data/data/####/923f336e4018b3c8424428442cfd65b3.0.tmp
- /data/data/####/923f336e4018b3c8424428442cfd65b3.1.tmp
- /data/data/####/94b6f00c499d4ca5356806f86c4ed15a.0.tmp
- /data/data/####/94b6f00c499d4ca5356806f86c4ed15a.1.tmp
- /data/data/####/ACCS_BINDumeng;52a0242156240b5b4a0104f9.xml
- /data/data/####/ACCS_SDK.xml
- /data/data/####/ACCS_SDK_CHANNEL.xml
- /data/data/####/AGOO_BIND.xml
- /data/data/####/Agoo_AppStore.xml
- /data/data/####/Alvin2.xml
- /data/data/####/BEIA6MbMa7SekQtRRXBtT4XKGpg.294581741.tmp
- /data/data/####/BaB4ST7Q762WsCejODVerfIuw7Q.-441276095.tmp
- /data/data/####/ContextData.xml
- /data/data/####/DaemonServer
- /data/data/####/Ecnc0Z-1E01p0Hucfl_1mOUs4pQ.-1003125511.tmp
- /data/data/####/KObQ3mRqLmujNrqfAJt6XgIrxBI.-488159699.tmp
- /data/data/####/LH--ilXuk-ycw4rQTEkxnz7fSm0.-2143072707.tmp
- /data/data/####/LH--ilXuk-ycw4rQTEkxnz7fSm0.cnt
- /data/data/####/MessageStore.db-journal
- /data/data/####/MsgLogStore.db-journal
- /data/data/####/NFzAZjzFS7i6oNTe7qNLoASRGhE.-1656057264.tmp
- /data/data/####/NL5alAq8XEd4tmCpk0j439VeNHE.2042647438.tmp
- /data/data/####/Pg0URMXM4C253QDNRSHMlFjPJ4w.-1832634294.tmp
- /data/data/####/RPgU6akjADIAv97wnurONRMF8Ts.1971053858.tmp
- /data/data/####/Rop-thD79LUbPKjnplYuJXui-M8.-1314462298.tmp
- /data/data/####/ShYxfbxQvQQZN19-XjjiIkWlJYM.-150705567.tmp
- /data/data/####/TEZ5LZZMZE70RlV7cOkbcjeak_s.193995489.tmp
- /data/data/####/ThrowalbeLog.db-journal
- /data/data/####/UO4d-kSdGGf-KDfJnCKMowa_weM.940825662.tmp
- /data/data/####/UTCommon.xml
- /data/data/####/UTMCConf-818791854.xml
- /data/data/####/UTMCLog-818791854.xml
- /data/data/####/_Te9Gf_XTMoRqag3_cjYcV9c0dM.-422237771.tmp
- /data/data/####/accs.db-journal
- /data/data/####/agoo.pid
- /data/data/####/c1d84125112f3a60b5bdfd85213d885e.0.tmp
- /data/data/####/c1d84125112f3a60b5bdfd85213d885e.1.tmp
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/channel_pre.xml
- /data/data/####/cn_feng_skin_pref.xml
- /data/data/####/com.haowan.huabar-1.apk.classes651410364.zip
- /data/data/####/com.haowan.huabar_2057
- /data/data/####/com.haowan.huabar_TcmsService_2106
- /data/data/####/com.haowan.huabar_preferences.xml
- /data/data/####/d318afbce76e016db753994eb797e2fa.0.tmp
- /data/data/####/d318afbce76e016db753994eb797e2fa.1.tmp
- /data/data/####/d94cfa6490e0b00d7a5fb217f85403d5.0.tmp
- /data/data/####/d94cfa6490e0b00d7a5fb217f85403d5.1.tmp
- /data/data/####/e52669a9b6f81b15fd9750614bbe8bdc.0.tmp
- /data/data/####/e52669a9b6f81b15fd9750614bbe8bdc.1.tmp
- /data/data/####/e6cIlRtztK9REnOTlU2fpBbVCoM.1877881812.tmp
- /data/data/####/eudemon
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/f2a13659b22e8a1bfb21d8f0185a81f7.0.tmp
- /data/data/####/f2a13659b22e8a1bfb21d8f0185a81f7.1.tmp
- /data/data/####/f792f5684f1baa87c9e255af53e82ba0.0.tmp
- /data/data/####/f792f5684f1baa87c9e255af53e82ba0.1.tmp
- /data/data/####/fMxybBvfqQ7BgUJzqozUYVIlqRs.283156296.tmp
- /data/data/####/fMxybBvfqQ7BgUJzqozUYVIlqRs.cnt
- /data/data/####/fbFXK2N6wl6X80gCHGTWGpIV4pE.14461543.tmp
- /data/data/####/gFVJuW0v2f9GrLymu0gMZUZ-mis.700640004.tmp
- /data/data/####/h7UgQYE7-XNGBb2bKL58JtRldrg.544755150.tmp
- /data/data/####/hmdb
- /data/data/####/hmdb-journal
- /data/data/####/iKgdekfMAqdNlG5FGmIslEVCTNQ.-629895230.tmp
- /data/data/####/ihWO_qKnR83oz6D3sEaHcRpyi44.2111566392.tmp
- /data/data/####/journal
- /data/data/####/journal.tmp
- /data/data/####/l0zh5YmObZsUbrmCqi70dAzxsUQ.-312263497.tmp
- /data/data/####/logdb.db
- /data/data/####/logdb.db-journal
- /data/data/####/meRjMCGs6hHOZTtMVOoHEWff2Lw.18613244.tmp
- /data/data/####/message_accs_db
- /data/data/####/message_accs_db-journal
- /data/data/####/mob_commons_1.xml
- /data/data/####/mob_sdk_exception_1.xml
- /data/data/####/multidex.version.xml
- /data/data/####/nDeiDXWpSerJMK92dZ8g8dkGDZY.1645272479.tmp
- /data/data/####/paintgame.db
- /data/data/####/paintgame.db-journal
- /data/data/####/sp.lock
- /data/data/####/tcms_setting_sp.xml
- /data/data/####/tlu4WZh44BP0bI3EFhrMahkS_T8.-2073144969.tmp
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/webviewCookiesChromiumPrivate.db-journal
- /data/data/####/y2LZZtV0Bgi01yB4AjIqPM8EqWc.-615575840.tmp
- /data/data/####/ywAccount.xml
- /data/data/####/ywPrefsTools.xml
- /data/data/####/ywPrefsTools.xml.bak (deleted)
- /data/data/####/zxu3znWtavy65ni2wu4rMJwzKOo.-966636494.tmp
- /data/media/####/.al
- /data/media/####/.bar
- /data/media/####/.dh-journal
- /data/media/####/.dhlock
- /data/media/####/.dic_lock
- /data/media/####/.duid
- /data/media/####/.globalLock
- /data/media/####/.nomedia
- /data/media/####/.nulal
- /data/media/####/.nulplt
- /data/media/####/.pkg_lock
- /data/media/####/.plst
- /data/media/####/.rcTag
- /data/media/####/.rc_lock
- /data/media/####/.serveruuid
- /data/media/####/1510835718608.db
- /data/media/####/1510835719450.db
- /data/media/####/1510835729075.db
- /data/media/####/1510835734838.db
- /data/media/####/2_20171116_r
- /data/media/####/6c709c11d2d46a7b
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/alsn20170807.db
- /data/media/####/alsn20170807.db-journal
- /data/media/####/c8431cd248f145eda83dbecd9ec227a3
- /data/media/####/dd7893586a493dc3
- /data/media/####/deviceToken
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/files/DaemonServer -s <Package Folder>/lib/ -n runServer -p startservice -n <Package>/com.taobao.accs.ChannelService --user 0 -f <Package Folder> -t 600 -c agoo.pid -P <Package Folder> -K 1009527 -U tb_accs_eudemon_1.1.3 -L http://agoodm.m.taobao.com/agoo/report -D {"package":"<Package>","appKey":"umeng:52a0242156240b5b4a0104f9","utdid":"Wg2GBQxTtZQDAGdzx1Gvrr/9","sdkVersion":"220"} -I agoodm.m.taobao.com -O 80 -T -Z
- app_process /system/bin com.android.commands.pm.Pm list packages
- cat /proc/cpuinfo | grep Serial
- chmod 500 <Package Folder>/files/DaemonServer
- getprop
- getprop ro.product.cpu.abi
- grep -E -v root|shell|system
- ls -l /system/xbin/su
- pm list packages
- sh
- top -d 0 -n 1
Загружает динамические библиотеки:
- fb_jpegturbo
- imagepipeline
- inet.2.0
- neh
- securitysdk-3.1
- tnet-3.1
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS5Padding
- AES-ECB-PKCS7Padding
- RSA-ECB-PKCS1Padding
- RSA-NONE-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-ECB-NoPadding
- AES-ECB-PKCS5Padding
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
