Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.RemoteCode.155.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) c####.z####.com:80
- TCP(HTTP/1.1) 1####.205.160.63:80
- TCP(HTTP/1.1) oc.u####.com:80
- TCP(TLS/1.0) msg.umengc####.com:443
- TCP umengj####.m.ta####.com:80
- TCP 1####.205.160.76:443
Запросы DNS:
- ag####.m.ta####.com
- c####.z####.com
- img.safetys####.mobi
- ip.ch####.com
- msg.umengc####.com
- oc.u####.com
- umengj####.m.ta####.com
Запросы HTTP GET:
- c####.z####.com/1607/res_g.bin
Запросы HTTP POST:
- oc.u####.com/v2/check_config_update
- oc.u####.com/v2/get_update_time
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.engine.apk
- /data/data/####/.key.apk
- /data/data/####/ACCS_BIND.xml
- /data/data/####/ACCS_SDK.xml
- /data/data/####/ACCS_SDK_CHANNEL.xml
- /data/data/####/AGOO_BIND.xml
- /data/data/####/Agoo_AppStore.xml
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/DaemonServer
- /data/data/####/MessageStore.db-journal
- /data/data/####/MsgLogStore.db-journal
- /data/data/####/accs.db-journal
- /data/data/####/agoo.pid
- /data/data/####/android_pre.xml
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/gx
- /data/data/####/libcrypt.so
- /data/data/####/libloader.so
- /data/data/####/message_accs_db
- /data/data/####/message_accs_db-journal
- /data/data/####/mobclick_agent_cached_com.lhyy.childrenracing1100
- /data/data/####/onlineconfig_agent_online_setting_com.lhyy.chil...g1.xml
- /data/data/####/shell_pre.xml
- /data/data/####/temp.jar
- /data/data/####/umeng_general_config.xml
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/webviewCookiesChromiumPrivate.db-journal
- /data/media/####/.nomedia
- /data/media/####/031641654c4a4c9aa137e82d59f73856
- /data/media/####/950973f2b5da48e88660997c0ce2d448
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/accs_election
- /data/media/####/deviceToken
- /data/media/####/fee8ef2d5c64453a90be3070d1a08d4e
- /data/media/####/inapp_20180516.log
- /data/media/####/sys_nicholas.txt
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/files/DaemonServer -s <Package Folder>/lib/ -n runServer -p startservice -n <Package>/com.taobao.accs.ChannelService --user 0 -f <Package Folder> -t 600 -c agoo.pid -P <Package Folder> -K 1009527 -U tb_accs_eudemon_1.1.3 -L http://agoodm.m.taobao.com/agoo/report -D {"package":"<Package>","appKey":"umeng:5864c3a8b27b0a193d000716","utdid":"WvvWyBtxisQDAGdzx1GBwLOR","sdkVersion":"212"} -I agoodm.m.taobao.com -O 80 -T -Z
- cat /proc/version
- cat /sys/class/net/wlan0/address
- chmod 500 <Package Folder>/files/DaemonServer
- chmod 777 <Package Folder>/files/gxTmp
- chmod 777 <Package Folder>/files/gxTmp/gx
- sh
Загружает динамические библиотеки:
- cocos2dcpp
- crypt
- libloader
- tnet-3.1
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-ECB-PKCS5Padding
- DES
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
