Техническая информация
Вредоносные функции:
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.0) tcms-a####.wan####.ta####.com:443
- TCP(HTTP/1.1) haowa####.oss.aliy####.com:80
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) m.d####.mob.com:80
- TCP(HTTP/1.1) w####.q####.dn.####.com:80
- TCP(HTTP/1.1) a####.exc.mob.com:80
- TCP(HTTP/1.1) msg.umengc####.com:80
- TCP(HTTP/1.1) c.d####.mob.com:80
- TCP(HTTP/1.1) a####.m.ta####.com:80
- TCP(HTTP/1.1) tcms-op####.wan####.ta####.com:80
- TCP(HTTP/1.1) w####.ta####.com:80
- TCP(HTTP/1.1) s.haowa####.com:8900
- TCP(TLS/1.0) msg.umengc####.com:443
- TCP(TLS/1.0) s.haowa####.com:8008
- TCP(TLS/1.0) a####.a####.m.####.com:443
- TCP umengj####.m.ta####.com:80
- TCP ope####.m.ta####.com:443
- TCP zhizhi####.com:5222
- TCP 2####.204.101.107:80
Запросы DNS:
- _ja####._####.zhizhi####.com
- _xmpp-c####._####.zhizhi####.com
- a####.exc.mob.com
- a####.m.ta####.com
- a####.m.ta####.com
- a####.u####.com
- ag####.m.ta####.com
- c.d####.mob.com
- haowa####.oss.aliy####.com
- haowa####.qin####.com
- hotp####.wan####.ta####.com
- m.d####.mob.com
- msg.umengc####.com
- s.haowa####.com
- tcms-a####.wan####.ta####.com
- tcms-op####.wan####.ta####.com
- umen####.m.ta####.com
- umengj####.m.ta####.com
- w####.ta####.com
- zhizhi####.com
Запросы HTTP GET:
- haowa####.oss.aliy####.com/111844f15561a6e447f6223e67b32a5a
- haowa####.oss.aliy####.com/15ddb4237fa02aeaa47c7cc3bc6e299a
- haowa####.oss.aliy####.com/180d5ccb10541052b866a93015ac88e8
- haowa####.oss.aliy####.com/1c7b0bc8107ce65d1f710ca1eeb211e0
- haowa####.oss.aliy####.com/22d9119266e96f2ea83ed6d6f8f29d99
- haowa####.oss.aliy####.com/323c0358d3ed26d9c173ffe487e0483d
- haowa####.oss.aliy####.com/3ada8bf08be2661595ed3074c5fc5f9f
- haowa####.oss.aliy####.com/466f6e7b4fc95c209866dbd2b8cd5dbe
- haowa####.oss.aliy####.com/4bfcbef982e6515791a62c5fa8ca3693
- haowa####.oss.aliy####.com/5c85c2788a18241c9a3c0fed7a1114af
- haowa####.oss.aliy####.com/770784d9c6037879feed8852887b451f
- haowa####.oss.aliy####.com/79d982014af8c2bced0fa3438d74283b
- haowa####.oss.aliy####.com/a795a88c45d030ae767b30b6b80d65fd
- haowa####.oss.aliy####.com/b02002b67b78682d74c47adf772ca3d0
- haowa####.oss.aliy####.com/b8740bc99508a471d6def36b0eb62550
- haowa####.oss.aliy####.com/d922660b6d82eb5c924dc3e87989e93e
- haowa####.oss.aliy####.com/dfaccbccc655b7a411a36056bf591132
- haowa####.oss.aliy####.com/ef696cd66707230f31aebca5e92d4f9a
- m.d####.mob.com/v3/cconf?appkey=####&plat=####&apppkg=####&appver=####&n...
- s.haowa####.com:8900/RegisterDemo1/servlet/GetAppreClassInfo?jid=####
- s.haowa####.com:8900/RegisterDemo1/servlet/GetAppreciation?jid=####&acti...
- s.haowa####.com:8900/RegisterDemo1/servlet/GetComList?noteid=####&visid=...
- s.haowa####.com:8900/RegisterDemo1/servlet/GetGoodNote?currentnum=####&n...
- s.haowa####.com:8900/RegisterDemo1/servlet/GetInvcode?jid=####
- s.haowa####.com:8900/RegisterDemo1/servlet/GetNewsList?jid=####&newsid=#...
- s.haowa####.com:8900/RegisterDemo1/servlet/GetNoteContent?noteid=####&ji...
- s.haowa####.com:8900/RegisterDemo1/servlet/GetNoteInfo?noteid=####&jid=#...
- s.haowa####.com:8900/RegisterDemo1/servlet/GetRecomUser?page=####&subtyp...
- s.haowa####.com:8900/RegisterDemo1/servlet/GetUserInfo?jid=####&vsjid=####
- s.haowa####.com:8900/RegisterDemo1/servlet/SyncSp?jid=####
- s.haowa####.com:8900/RegisterDemo1/servlet/UpLoadUmToken?jid=####&passwd...
- tcms-a####.wan####.ta####.com:443/imlogingw/tcp60login?devid=####&ver=####
- tcms-op####.wan####.ta####.com/getapprule?appkey=####&appId=####
- w####.q####.dn.####.com/0d8d8991b04950b07ddde6dc32aa3bad
- w####.q####.dn.####.com/2018-02-10-18-44-08jc5dsywl-0.png
- w####.q####.dn.####.com/2018-03-22-22-00-54ncopruxk-0.png
- w####.q####.dn.####.com/22d0afeec9670ad859b278418dbe0c1b
- w####.q####.dn.####.com/3c8ebefab26a15eaa550fe80bd43b998
- w####.q####.dn.####.com/45fd62b62a62b991676f32b332105aa6
- w####.q####.dn.####.com/463fb478186ad0ec8d90261f0fb392ec
- w####.q####.dn.####.com/4a35cca027434d25b4ceb55783281277
- w####.q####.dn.####.com/5059458ca6e04473b0842e703609222b
- w####.q####.dn.####.com/58089e31c090a413928eeab1e8efd6b0
- w####.q####.dn.####.com/658f8a0f6eea552f884729892f466c81
- w####.q####.dn.####.com/7b9c688d911b5eb9a6d8d05a79cace25
- w####.q####.dn.####.com/807f78ac08319eea2e5702678bad2b55
- w####.q####.dn.####.com/932553cc7bdb8d8753547feca1d96140
- w####.q####.dn.####.com/a5b7129cf94fcce1501daca958823fc1
- w####.q####.dn.####.com/b0ccdd9c1997b04ea1030fe7909b9376
- w####.q####.dn.####.com/c3f6ccc4e9672f04b9935a72b825c96a
- w####.q####.dn.####.com/c6a8086bac8ff036899587a195724ec5
- w####.q####.dn.####.com/d62f2115fae54cd7967941d2da8a5b96
- w####.q####.dn.####.com/df218fdaa5a7aab783c9b10a1ac9320c
- w####.q####.dn.####.com/f58884f4707cb639236e9307e1d48ec8
Запросы HTTP POST:
- a####.exc.mob.com/errconf
- a####.m.ta####.com/rest/gc?dd=####&nsgs=####&ak=####&av=####&c=####&v=##...
- a####.m.ta####.com/rest/sur?ak=####&av=####&c=####&v=####&s=####&d=####&...
- a####.u####.com/app_logs
- c.d####.mob.com/v2/cdata
- msg.umengc####.com/register
- w####.ta####.com/api/user/getUser.json
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.lock
- /data/data/####/00d51c62ca878efc8235bc2ae38dcfe5.0.tmp
- /data/data/####/00d51c62ca878efc8235bc2ae38dcfe5.1.tmp
- /data/data/####/022f8371f0f7c2e7c7e3cf825bf274f6.0.tmp
- /data/data/####/022f8371f0f7c2e7c7e3cf825bf274f6.1.tmp
- /data/data/####/072484883dd9d0521f4be674cdef91f4.0.tmp
- /data/data/####/072484883dd9d0521f4be674cdef91f4.1.tmp
- /data/data/####/0e742a7fc5a9944eff2b406718c65658.0.tmp
- /data/data/####/0e742a7fc5a9944eff2b406718c65658.1.tmp
- /data/data/####/112e91813b81e5b7f2bacb816c4c6791.0.tmp
- /data/data/####/112e91813b81e5b7f2bacb816c4c6791.1.tmp
- /data/data/####/1d2b904cbeadfb72ed9546111a231c85.0
- /data/data/####/2007bac6132c2cc6b71eee0d99d4d568.0.tmp
- /data/data/####/2007bac6132c2cc6b71eee0d99d4d568.1.tmp
- /data/data/####/24c110e1f76093b35c3c2df1927aab79.0
- /data/data/####/2ec6437ca529da59dd9faf6cefed6ffe.0.tmp
- /data/data/####/2ec6437ca529da59dd9faf6cefed6ffe.1.tmp
- /data/data/####/4gb1A4WBFmwISESk4Zz_SzzLk4M.918826866.tmp
- /data/data/####/50xTjmgOpoCaKW08ck7RvTMIPjA.1172825637.tmp
- /data/data/####/59UWhOh4MAKl8h-La-W4y57gPVw.-1615004533.tmp
- /data/data/####/5f28b8af40286d45962a2008d387f5cd.0.tmp
- /data/data/####/5f28b8af40286d45962a2008d387f5cd.1.tmp
- /data/data/####/5fdd86e09afbb6720d0a2d0dd0f24b33.0.tmp
- /data/data/####/5fdd86e09afbb6720d0a2d0dd0f24b33.1.tmp
- /data/data/####/611422519cd3f0ce6b3dad08f7e33c2a.0.tmp
- /data/data/####/611422519cd3f0ce6b3dad08f7e33c2a.1.tmp
- /data/data/####/6e063b74e11dd6ff523f8abb57653995.0.tmp
- /data/data/####/6e063b74e11dd6ff523f8abb57653995.1.tmp
- /data/data/####/6rR3FWLdChiDKIHAuv6pecgRsYw.1312406312.tmp
- /data/data/####/75faacc6d47ddb0a6f16f0a452637368.0.tmp
- /data/data/####/75faacc6d47ddb0a6f16f0a452637368.1.tmp
- /data/data/####/863b0b1146b9711bd332eb6a62b409df.0.tmp
- /data/data/####/863b0b1146b9711bd332eb6a62b409df.1.tmp
- /data/data/####/88c8f1c4ddb3969f8b1fffea32325b9e.0.tmp
- /data/data/####/88c8f1c4ddb3969f8b1fffea32325b9e.1.tmp
- /data/data/####/890c52b439b5bf833674aade003429dc.0.tmp
- /data/data/####/890c52b439b5bf833674aade003429dc.1.tmp
- /data/data/####/948c50c9529d22a5ab332e1627c0ff17.0.tmp
- /data/data/####/948c50c9529d22a5ab332e1627c0ff17.1.tmp
- /data/data/####/9c505b98182e3e6c56bb6836ee575f4f.0.tmp
- /data/data/####/9c505b98182e3e6c56bb6836ee575f4f.1.tmp
- /data/data/####/ACCS_BINDumeng;52a0242156240b5b4a0104f9.xml
- /data/data/####/ACCS_SDK.xml
- /data/data/####/ACCS_SDK_CHANNEL.xml
- /data/data/####/AGOO_BIND.xml
- /data/data/####/Agoo_AppStore.xml
- /data/data/####/Alvin2.xml
- /data/data/####/BNwJDaezAJeRtsendeVGaAArRrQ.-1774799928.tmp
- /data/data/####/BaB4ST7Q762WsCejODVerfIuw7Q.1307575136.tmp
- /data/data/####/ContextData.xml
- /data/data/####/DaemonServer
- /data/data/####/JzqsMUYWQ3EW0kdFRrUlGlkmOl4.30017383.tmp
- /data/data/####/KObQ3mRqLmujNrqfAJt6XgIrxBI.-1839618505.tmp
- /data/data/####/KbPe5o8K3WLAUnveQRR1NOcvM1s.427483664.tmp
- /data/data/####/KeyStore.bks
- /data/data/####/L4EXTTgABlyBaeG_Mx7RY-I6sME.50895765.tmp
- /data/data/####/L6H7tWO6n1EhqfPO0O1tQTJwhT8.-1577549831.tmp
- /data/data/####/MessageStore.db-journal
- /data/data/####/MsgLogStore.db-journal
- /data/data/####/P9alBR0WHcbCQVX6IEFJU31-NX0.2103376875.tmp
- /data/data/####/PEdIg4ehaAUdJkaAtnJVKi9CJw4.-1817932296.tmp
- /data/data/####/PR_CRnoix2h9G9GS6Wz2HOKhRCA.-19261632.tmp
- /data/data/####/PcgZ6nMjszOAxyAKFU9Lr2-Wmuk.1790676906.tmp
- /data/data/####/Rkcxb1yJYuUhx0_l4pc-ynHMgW4.-427469443.tmp
- /data/data/####/SW5V_qLLeYZv22Jw2zVJ1JiHQk8.-953825757.tmp
- /data/data/####/TfETriWPuFkpKIx4Se6Ejgu2byA.-72358514.tmp
- /data/data/####/ThrowalbeLog.db-journal
- /data/data/####/ULAa6Qcc3YsKIHijcJXaQuV2DQ4.-1812158979.tmp
- /data/data/####/UTCommon.xml
- /data/data/####/UTMCConf-818791854.xml
- /data/data/####/UTMCLog-818791854.xml
- /data/data/####/WCwXycK9vX54n5jgzwJZjRRZTbo.216374578.tmp
- /data/data/####/_EEcIXt6fIUgfbqNC9rPu_-E0u8.-254342201.tmp
- /data/data/####/a346d4a8ab350aa12c4d05ba051dc431.0.tmp
- /data/data/####/a346d4a8ab350aa12c4d05ba051dc431.1.tmp
- /data/data/####/ab188525bba974ec6a35d52ca144a876.0.tmp
- /data/data/####/ab188525bba974ec6a35d52ca144a876.1.tmp
- /data/data/####/ab556395fecd92678b692a76dbb5f6f1.0.tmp
- /data/data/####/ab556395fecd92678b692a76dbb5f6f1.1.tmp
- /data/data/####/accs.db-journal
- /data/data/####/agoo.pid
- /data/data/####/b0f6c04430a36ed46b8225472688e012.0.tmp
- /data/data/####/b0f6c04430a36ed46b8225472688e012.1.tmp
- /data/data/####/bacb6dd2d870c93ad5aefa102d215aad.0.tmp
- /data/data/####/bacb6dd2d870c93ad5aefa102d215aad.1.tmp
- /data/data/####/c0a60ed06c328a5571557ec262b987c1-journal
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/channel_pre.xml
- /data/data/####/cn_feng_skin_pref.xml
- /data/data/####/com.haowan.huabar-1.apk.classes-1253961947.zip
- /data/data/####/com.haowan.huabar_2114
- /data/data/####/com.haowan.huabar_TcmsService_2163
- /data/data/####/com.haowan.huabar_preferences.xml
- /data/data/####/d3423f77a58cf36c98555d4312c01d0d.0.tmp
- /data/data/####/d3423f77a58cf36c98555d4312c01d0d.1.tmp
- /data/data/####/d7e132e4caeb47572523b9986759185d.0.tmp
- /data/data/####/d7e132e4caeb47572523b9986759185d.1.tmp
- /data/data/####/d9fae57dfc04e9b325e39b3be78def53.0.tmp
- /data/data/####/d9fae57dfc04e9b325e39b3be78def53.1.tmp
- /data/data/####/dHUreyOUDUs-KSQHMpGWTJnWnmw.-235783913.tmp
- /data/data/####/eb8c35b7614aaf0323cd38bec24c91a7.0.tmp
- /data/data/####/eb8c35b7614aaf0323cd38bec24c91a7.1.tmp
- /data/data/####/ecbafb066e876f2235bdb3a267762d60.0.tmp
- /data/data/####/ecbafb066e876f2235bdb3a267762d60.1.tmp
- /data/data/####/ed63367e8dd34b62d801c6ae866f968c.0.tmp
- /data/data/####/ed63367e8dd34b62d801c6ae866f968c.1.tmp
- /data/data/####/ed9cad7913e8e8f4df54716638e9124b.0.tmp
- /data/data/####/ed9cad7913e8e8f4df54716638e9124b.1.tmp
- /data/data/####/ef142429a3d1303d51d5df0d24b98045.0.tmp
- /data/data/####/ef142429a3d1303d51d5df0d24b98045.1.tmp
- /data/data/####/efa55a5c69db58552c01946e895afbf5.0.tmp
- /data/data/####/efa55a5c69db58552c01946e895afbf5.1.tmp
- /data/data/####/eudemon
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/fbFXK2N6wl6X80gCHGTWGpIV4pE.1830761327.tmp
- /data/data/####/fd1ab4e083fa1c5c8822854dc52d4a55.0.tmp
- /data/data/####/fd1ab4e083fa1c5c8822854dc52d4a55.1.tmp
- /data/data/####/fd82244a8f13b4d455685fcba9dea57b.0.tmp
- /data/data/####/fd82244a8f13b4d455685fcba9dea57b.1.tmp
- /data/data/####/fefa50fe790d4f158042b6756b832a90.0.tmp
- /data/data/####/fefa50fe790d4f158042b6756b832a90.1.tmp
- /data/data/####/h1b6X6mGJAFPDspgA7ywihrc2eU.-1006339071.tmp
- /data/data/####/hmdb
- /data/data/####/hmdb-journal
- /data/data/####/ihWO_qKnR83oz6D3sEaHcRpyi44.-1501314693.tmp
- /data/data/####/journal
- /data/data/####/journal.tmp
- /data/data/####/kIrUp54QPfrPLly5HmRUQpKnsFw.-710660605.tmp
- /data/data/####/logdb.db
- /data/data/####/logdb.db-journal
- /data/data/####/meRjMCGs6hHOZTtMVOoHEWff2Lw.223276472.tmp
- /data/data/####/message_accs_db
- /data/data/####/message_accs_db-journal
- /data/data/####/mob_commons_1.xml
- /data/data/####/mob_sdk_exception_1.xml
- /data/data/####/mob_sdk_exception_1.xml (deleted)
- /data/data/####/multidex.version.xml
- /data/data/####/nRHDBDlBUNX2U5o_eL-vTiG_OQQ.247822133.tmp
- /data/data/####/ob6QgbK6RDe9sR8Ij3x1W-uOE8A.-699659261.tmp
- /data/data/####/paintgame.db
- /data/data/####/paintgame.db-journal
- /data/data/####/qg4PSzC4ScBe4pMA489LKNTD3pY.-1328786868.tmp
- /data/data/####/sp.lock
- /data/data/####/tcms_setting_sp.xml
- /data/data/####/tmp.txt
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/wYwjv4W8S9xj-Vx8u8iZ3PsDuso.442980531.tmp
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/webviewCookiesChromiumPrivate.db-journal
- /data/data/####/wiZonORma0aMS2UJALpzxkWuI14.-1058555309.tmp
- /data/data/####/xBJbgwJ5fKg9vwNQcNEfCQ-eC4k.-725949993.tmp
- /data/data/####/ywAccount.xml
- /data/data/####/ywPrefsTools.xml
- /data/data/####/z4ouADyY0_HEkzRmRnpUI1R2ds4.360367444.tmp
- /data/data/####/zAaFAT8UF543XvkA2_y3vD8rc-I.1586897528.tmp
- /data/data/####/zE9aYYjOBO_CQuLC93i-_xnTx4s.1644896130.tmp
- /data/media/####/.al
- /data/media/####/.bar
- /data/media/####/.dh-journal
- /data/media/####/.dhlock
- /data/media/####/.dic_lock
- /data/media/####/.duid
- /data/media/####/.globalLock
- /data/media/####/.nomedia
- /data/media/####/.nulal
- /data/media/####/.nulplt
- /data/media/####/.pkg_lock
- /data/media/####/.plst
- /data/media/####/.rcTag
- /data/media/####/.rc_lock
- /data/media/####/.serveruuid
- /data/media/####/1510833478660.db
- /data/media/####/1510833480376.db
- /data/media/####/1510833489188.db
- /data/media/####/1510833496106.db
- /data/media/####/2_20171116_r
- /data/media/####/6c709c11d2d46a7b
- /data/media/####/7926728.du
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/alsn20170807.db
- /data/media/####/alsn20170807.db-journal
- /data/media/####/c0b445c5f3d84e62aab9b96531a100fe
- /data/media/####/dd7893586a493dc3
- /data/media/####/deviceToken
- /data/media/####/df218fdaa5a7aab783c9b10a1ac9320c
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/files/DaemonServer -s <Package Folder>/lib/ -n runServer -p startservice -n <Package>/com.taobao.accs.ChannelService --user 0 -f <Package Folder> -t 600 -c agoo.pid -P <Package Folder> -K 1009527 -U tb_accs_eudemon_1.1.3 -L http://agoodm.m.taobao.com/agoo/report -D {"package":"<Package>","appKey":"umeng:52a0242156240b5b4a0104f9","utdid":"Wg19ROMcW7QDAGdzx1GI2ky2","sdkVersion":"220"} -I agoodm.m.taobao.com -O 80 -T -Z
- app_process /system/bin com.android.commands.pm.Pm list packages
- cat /proc/cpuinfo | grep Serial
- chmod 500 <Package Folder>/files/DaemonServer
- getprop
- getprop ro.product.cpu.abi
- grep -E -v root|shell|system
- ls -l /system/xbin/su
- pm list packages
- sh
- top -d 0 -n 1
Загружает динамические библиотеки:
- fb_jpegturbo
- imagepipeline
- inet.2.0
- neh
- securitysdk-3.1
- tnet-3.1
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS5Padding
- AES-ECB-PKCS7Padding
- RSA-ECB-PKCS1Padding
- RSA-NONE-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-ECB-NoPadding
- AES-ECB-PKCS5Padding
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
