Техническая информация
Вредоносные функции:
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.0) tcms-a####.wan####.ta####.com:443
- TCP(HTTP/1.1) haowa####.oss.aliy####.com:80
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) m.d####.mob.com:80
- TCP(HTTP/1.1) w####.q####.dn.####.com:80
- TCP(HTTP/1.1) sh.wagbr####.alibaba####.com:80
- TCP(HTTP/1.1) a####.exc.mob.com:80
- TCP(HTTP/1.1) c.d####.mob.com:80
- TCP(HTTP/1.1) a####.m.ta####.com:80
- TCP(HTTP/1.1) tcms-op####.wan####.ta####.com:80
- TCP(HTTP/1.1) s.haowa####.com:8900
- TCP(TLS/1.0) msg.umengc####.com:443
- TCP(TLS/1.0) s.haowa####.com:8008
- TCP(TLS/1.0) a####.a####.m.####.com:443
- TCP umengj####.m.ta####.com:80
- TCP ope####.m.ta####.com:443
- TCP zhizhi####.com:5222
- TCP 2####.204.101.107:80
Запросы DNS:
- _ja####._####.zhizhi####.com
- _xmpp-c####._####.zhizhi####.com
- a####.al####.com
- a####.exc.mob.com
- a####.m.ta####.com
- a####.m.ta####.com
- a####.u####.com
- ag####.m.ta####.com
- c.d####.mob.com
- haowa####.oss.aliy####.com
- haowa####.qin####.com
- hotp####.wan####.ta####.com
- m.d####.mob.com
- msg.umengc####.com
- s.haowa####.com
- tcms-a####.wan####.ta####.com
- tcms-op####.wan####.ta####.com
- umen####.m.ta####.com
- umengj####.m.ta####.com
- zhizhi####.com
Запросы HTTP GET:
- a####.m.ta####.com/rest/abtest?logid=####&ak=####&av=####&c=####&v=####&...
- haowa####.oss.aliy####.com/2297565953485f6810eed74349b79255
- haowa####.oss.aliy####.com/3ed5b03817993c654637a7d46a8aca31
- haowa####.oss.aliy####.com/455c26d21cfdf5167258318896285b3e
- haowa####.oss.aliy####.com/5092e4cb6a4fae9b34c3d7687fdea8f3
- haowa####.oss.aliy####.com/62bae04fd2b6425d843772d9284a1bcc
- haowa####.oss.aliy####.com/7fd046dbf13b5d3484521fd5a40b53b3
- haowa####.oss.aliy####.com/8cb505d1ef1448394b5dbe3ca6e6540c
- haowa####.oss.aliy####.com/a795a88c45d030ae767b30b6b80d65fd
- haowa####.oss.aliy####.com/cebd0f76817f4dfa0b6eb2e762127d0c
- haowa####.oss.aliy####.com/db4bed6c435b6dd84ddcc0419e423c88
- haowa####.oss.aliy####.com/db4e64acc9d78d59066239c283b5114b
- haowa####.oss.aliy####.com/e64a0806b8b006f815ea63a579bd96d6
- haowa####.oss.aliy####.com/e9148af351950b38c95ec0b3e8c5472b
- haowa####.oss.aliy####.com/f856c9d3a0917f1db67da07375686f4d
- haowa####.oss.aliy####.com/fe21b3feeb8cd2b92008e4fdf8c1e6b0
- m.d####.mob.com/v3/cconf?appkey=####&plat=####&apppkg=####&appver=####&n...
- s.haowa####.com:8900/RegisterDemo1/servlet/GetAppreClassInfo?jid=####
- s.haowa####.com:8900/RegisterDemo1/servlet/GetAppreciation?jid=####&acti...
- s.haowa####.com:8900/RegisterDemo1/servlet/GetComList?noteid=####&visid=...
- s.haowa####.com:8900/RegisterDemo1/servlet/GetInvcode?jid=####
- s.haowa####.com:8900/RegisterDemo1/servlet/GetNewsList?jid=####&newsid=#...
- s.haowa####.com:8900/RegisterDemo1/servlet/GetNoteInfo?noteid=####&jid=#...
- s.haowa####.com:8900/RegisterDemo1/servlet/GetPersonalNotes?jid=####&vsj...
- s.haowa####.com:8900/RegisterDemo1/servlet/GetRecomUser?page=####&subtyp...
- s.haowa####.com:8900/RegisterDemo1/servlet/GetUserInfo?jid=####&vsjid=####
- s.haowa####.com:8900/RegisterDemo1/servlet/HuabarMarket?type=####&warety...
- s.haowa####.com:8900/RegisterDemo1/servlet/SyncSp?jid=####
- s.haowa####.com:8900/RegisterDemo1/servlet/UpLoadUmToken?jid=####&passwd...
- sh.wagbr####.alibaba####.com/mullidstatus.aw?charset=####&beginnum=####&...
- tcms-a####.wan####.ta####.com:443/imlogingw/tcp60login?devid=####&ver=####
- tcms-op####.wan####.ta####.com/getapprule?appkey=####&appId=####
- w####.q####.dn.####.com/07f26643cbc6f2790e72b04aadfd3624
- w####.q####.dn.####.com/19c2ad8493752481d29ee32c959bb771
- w####.q####.dn.####.com/2017-11-18-19-08-34o901onco-0.png
- w####.q####.dn.####.com/2018-03-24-17-26-41qcq1sjve-0.png
- w####.q####.dn.####.com/27e02b5ef53c5f458738e6a3e69eaa22
- w####.q####.dn.####.com/2834742d2c829a1ec5ebde9421cb7051
- w####.q####.dn.####.com/2ac6778899dd2d10cc55bf759bbdbe68
- w####.q####.dn.####.com/3373e2e00d3b95fb89be5380119f2ddf
- w####.q####.dn.####.com/3c8ebefab26a15eaa550fe80bd43b998
- w####.q####.dn.####.com/3cd27ddeb6de3dc5fa90583bd4eaa069
- w####.q####.dn.####.com/403f2a7e22b4208c888bbeafa3cc2b1e
- w####.q####.dn.####.com/58089e31c090a413928eeab1e8efd6b0
- w####.q####.dn.####.com/658f8a0f6eea552f884729892f466c81
- w####.q####.dn.####.com/6696cc683e1d7567a0b856628fa8f98a
- w####.q####.dn.####.com/6b327a35f86a753ea5d1c3cba92a32ee
- w####.q####.dn.####.com/928df2946582c6db70ef4b26393f7919
- w####.q####.dn.####.com/aa13de20fc847f9e044d1d54e80d8119
- w####.q####.dn.####.com/c85af297f6fa31951c0f36d09bd9260c
- w####.q####.dn.####.com/cfe9bace44a30a1124f7aafbbd9dadae
- w####.q####.dn.####.com/d5f490ffb8261ab15b4f15998e293388
- w####.q####.dn.####.com/e1f0db4f390e21fe94595203bb59916c
- w####.q####.dn.####.com/fc3512fac22320b853eacb92c0dcc4fb
Запросы HTTP POST:
- a####.exc.mob.com/errconf
- a####.m.ta####.com/rest/gc?dd=####&nsgs=####&ak=####&av=####&c=####&v=##...
- a####.m.ta####.com/rest/sur?ak=####&av=####&c=####&v=####&s=####&d=####&...
- a####.u####.com/app_logs
- c.d####.mob.com/v2/cdata
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.lock
- /data/data/####/0DYUUwSQktrpzYBNjRGtQA7ni40.1388570447.tmp
- /data/data/####/1d2b904cbeadfb72ed9546111a231c85.0
- /data/data/####/24c110e1f76093b35c3c2df1927aab79.0
- /data/data/####/7d8d0388008d6c61aae07daffef86e94-journal
- /data/data/####/9Puphvj8zy9o_EpeC42COEFJ57o.-1515980474.tmp
- /data/data/####/ACCS_BINDumeng;52a0242156240b5b4a0104f9.xml
- /data/data/####/ACCS_SDK.xml
- /data/data/####/ACCS_SDK_CHANNEL.xml
- /data/data/####/AGOO_BIND.xml
- /data/data/####/Agoo_AppStore.xml
- /data/data/####/Alvin2.xml
- /data/data/####/BaB4ST7Q762WsCejODVerfIuw7Q.2058723782.tmp
- /data/data/####/BmZGRMPfqyJaCSA2e289KYyLiMc.-1809496782.tmp
- /data/data/####/ContextData.xml
- /data/data/####/DaemonServer
- /data/data/####/FcPFcwsEYvFX9cOk2tG8nryCYRc.-747293588.tmp
- /data/data/####/JFOmjujjz31gHNR54AoyYxg3Iw0.-1772220150.tmp
- /data/data/####/M8c7Zvf4srjL_OzlZx5J4Y7fPE8.-407474149.tmp
- /data/data/####/MXa1iHmTtCIg40F9TM3vwAsy6mU.1573763693.tmp
- /data/data/####/MessageStore.db-journal
- /data/data/####/MsgLogStore.db-journal
- /data/data/####/NGQGCjVfqUq1ftnpPpVtIIJWPb0.-1662101949.tmp
- /data/data/####/PGmbQnY9ptQtEFhqgGYbhC-3_hc.-1345426064.tmp
- /data/data/####/PR_CRnoix2h9G9GS6Wz2HOKhRCA.-1745480781.tmp
- /data/data/####/T6x2HdNr7ZGiHX2tqtPwEfgUpfM.1658823037.tmp
- /data/data/####/ThrowalbeLog.db-journal
- /data/data/####/UTCommon.xml
- /data/data/####/UTMCConf-818791854.xml
- /data/data/####/UTMCLog-818791854.xml
- /data/data/####/V5pRE2309xkMQkvBWsAazZh1ZbI.-821301916.tmp
- /data/data/####/Vfxkfwt41JUHRjqBviYCme7g-jA.-50707458.tmp
- /data/data/####/XF1R4xhqfDJjgsByRnN3vKKYmL4.1122904872.tmp
- /data/data/####/XGl-OM-_DZ3Ht2VLMeTkbOIjjNE.390113000.tmp
- /data/data/####/YdtShms94uV2MfAIQDJGAe8BDYk.-325020319.tmp
- /data/data/####/ZEhbw3g99WgDEFE-Wh9cUB1v39s.-1023506317.tmp
- /data/data/####/Zz12IMcSW5sCmhmY3JHUe3PtFxc.-1856897098.tmp
- /data/data/####/_EEcIXt6fIUgfbqNC9rPu_-E0u8.887266766.tmp
- /data/data/####/aCW3bXOCzbsERu48nShPMZm9CBU.1206421744.tmp
- /data/data/####/accs.db-journal
- /data/data/####/agoo.pid
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/channel_pre.xml
- /data/data/####/cn_feng_skin_pref.xml
- /data/data/####/com.haowan.huabar-1.apk.classes247910592.zip
- /data/data/####/com.haowan.huabar_2090
- /data/data/####/com.haowan.huabar_TcmsService_2137
- /data/data/####/com.haowan.huabar_preferences.xml
- /data/data/####/dBHsXJvd-DJkgv2W0JPERiVnGVs.945992577.tmp
- /data/data/####/eudemon
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/f2MubObZDVkkHzJcxQP7--bbvFg.180859567.tmp
- /data/data/####/gNxznjW3pvjoewwUpa9rCeU0SFI.1533310747.tmp
- /data/data/####/hklnk15613P94wAJvhhVcDNGTWs.-841096779.tmp
- /data/data/####/hmdb
- /data/data/####/hmdb-journal
- /data/data/####/journal
- /data/data/####/journal.tmp
- /data/data/####/lngxoRpwqcsj6GOF0jVbdeSKgig.-1721605181.tmp
- /data/data/####/logdb.db
- /data/data/####/logdb.db-journal
- /data/data/####/meRjMCGs6hHOZTtMVOoHEWff2Lw.797001588.tmp
- /data/data/####/message_accs_db
- /data/data/####/message_accs_db-journal
- /data/data/####/mob_commons_1.xml
- /data/data/####/mob_sdk_exception_1.xml
- /data/data/####/multidex.version.xml
- /data/data/####/n8YU6oe2wMIuZLqVa1vgAvqi56Y.-59858208.tmp
- /data/data/####/pO8jduT_gAlXRPyA5_qG3ESAHoo.131337466.tmp
- /data/data/####/paintgame.db
- /data/data/####/paintgame.db-journal
- /data/data/####/qkgB6vOi3r920olgbfji8IsFtZ4.-836921811.tmp
- /data/data/####/qvH6pM-I2Wu3t_BmTT2KcbCcUiU.-181297211.tmp
- /data/data/####/sV7Uj7JAK42vcIDuP5DgJmyg6DI.1741190427.tmp
- /data/data/####/sp.lock
- /data/data/####/tcms_setting_sp.xml
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/webviewCookiesChromiumPrivate.db-journal
- /data/data/####/ywAccount.xml
- /data/data/####/ywAccount.xml.bak
- /data/data/####/ywPrefsTools.xml
- /data/data/####/zKFKmwW-S7FXBSW3gQwk1rMYDIo.630739446.tmp
- /data/data/####/zxu3znWtavy65ni2wu4rMJwzKOo.-2146706061.tmp
- /data/media/####/.al
- /data/media/####/.bar
- /data/media/####/.dh-journal
- /data/media/####/.dhlock
- /data/media/####/.dic_lock
- /data/media/####/.duid
- /data/media/####/.globalLock
- /data/media/####/.nomedia
- /data/media/####/.nulal
- /data/media/####/.nulplt
- /data/media/####/.pkg_lock
- /data/media/####/.plst
- /data/media/####/.rcTag
- /data/media/####/.rc_lock
- /data/media/####/.serveruuid
- /data/media/####/1522509059854.db
- /data/media/####/1522509061339.db
- /data/media/####/1522509070425.db
- /data/media/####/1522509080394.db
- /data/media/####/2_20180331_r
- /data/media/####/38e0a4e9f2a24f26a6980d2ac2549ac4
- /data/media/####/6c709c11d2d46a7b
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/alsn20170807.db
- /data/media/####/alsn20170807.db-journal
- /data/media/####/dd7893586a493dc3
- /data/media/####/deviceToken
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/files/DaemonServer -s <Package Folder>/lib/ -n runServer -p startservice -n <Package>/com.taobao.accs.ChannelService --user 0 -f <Package Folder> -t 600 -c agoo.pid -P <Package Folder> -K 1009527 -U tb_accs_eudemon_1.1.3 -L http://agoodm.m.taobao.com/agoo/report -D {"package":"<Package>","appKey":"umeng:52a0242156240b5b4a0104f9","utdid":"Wr+lAstI9u8DAGdzx1GRoQnB","sdkVersion":"220"} -I agoodm.m.taobao.com -O 80 -T -Z
- app_process /system/bin com.android.commands.pm.Pm list packages
- cat /proc/cpuinfo | grep Serial
- chmod 500 <Package Folder>/files/DaemonServer
- getprop
- getprop ro.product.cpu.abi
- grep -E -v root|shell|system
- ls -l /system/xbin/su
- pm list packages
- sh
- top -d 0 -n 1
Загружает динамические библиотеки:
- fb_jpegturbo
- imagepipeline
- inet.2.0
- neh
- securitysdk-3.1
- tnet-3.1
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS5Padding
- AES-ECB-PKCS7Padding
- RSA-ECB-PKCS1Padding
- RSA-NONE-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-ECB-NoPadding
- AES-ECB-PKCS5Padding
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
