Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Adware.Kyview.2.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) msg.umengc####.com:80
- TCP(HTTP/1.1) mobads-####.b####.com:80
- TCP(HTTP/1.1) mo####.b####.com:80
- TCP(HTTP/1.1) api.m.ta####.com:80
- TCP(TLS/1.0) api####.df####.com:443
- TCP(TLS/1.0) xui.ptlo####.qq.com:443
- TCP(TLS/1.0) p####.tc.qq.com:443
- TCP 1####.205.203.73:80
Запросы DNS:
- a####.m.ta####.com
- a####.u####.com
- ag####.m.ta####.com
- ap####.df####.com
- api####.df####.com
- api.m.ta####.com
- imgc####.qq.com
- mo####.b####.com
- mobads-####.b####.com
- msg.umengc####.com
- t####.qq.com
- ty.cap####.qq.com
- xui.ptlo####.qq.com
Запросы HTTP GET:
- api.m.ta####.com/rest/api3.do?t=####&deviceId=####&imei=####&appKey=####...
- api.m.ta####.com/rest/api3.do?ttid=####&t=####&deviceId=####&imei=####&a...
- api.m.ta####.com/rest/api3.do?ttid=####&t=####&imei=####&appKey=####&v=#...
- api.m.ta####.com/spdyip/?appkey=####&ttid=####&deviceId=####&imei=####&n...
- mo####.b####.com/cpro/ui/mads.php?code2=####
Запросы HTTP POST:
- a####.u####.com/app_logs
- mobads-####.b####.com/brwhis.log
- msg.umengc####.com/v2/launch
- msg.umengc####.com/v2/register
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/.log.lock
- /data/data/####/.log.ls
- /data/data/####/AGOO_CONNECT.xml
- /data/data/####/AGOO_HOST.xml
- /data/data/####/Alvin2.xml
- /data/data/####/AppStore.xml
- /data/data/####/ContextData.xml
- /data/data/####/DaemonServer
- /data/data/####/MsgLogStore.db-journal
- /data/data/####/PhoneUtil.xml
- /data/data/####/UmengLocalNotificationStore.db-journal
- /data/data/####/__x_adsdk_agent_header__.xml
- /data/data/####/__xadsdk__remote__final__builtin__.jar
- /data/data/####/adview.xml
- /data/data/####/agoo.pid
- /data/data/####/com.baidu.mobads.loader.xml
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/exchangeIdentity.json
- /data/data/####/index
- /data/data/####/libjiagu.so
- /data/data/####/mobclick_agent_cached_com.dfg.cygl18
- /data/data/####/peizhi.xml
- /data/data/####/qihoo_jiagu_crash_report.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/umeng_message_state.xml
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/webviewCookiesChromium.db-journal (deleted)
- /data/data/####/webviewCookiesChromiumPrivate.db-journal
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/jiluqq.db
- /data/media/####/jiluqq.db-journal
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/files/DaemonServer -s <Package Folder>/lib/ -n runServer -p startservice -n <Package>/com.umeng.message.UmengService --es cockroach cockroach-PPreotect --es pack <Package> --user 0 -f <Package Folder> -t 600 -c agoo.pid -P <Package Folder> -K 1009527 -U tb_android_daemon_1.1.0 -L http://agoodm.m.taobao.com/agoo/report -D {"package":"<Package>","appKey":"umeng:57a1c93c67e58ef7de0000f3","utdid":"W0N7BmDZ+AQDAGdzx1EhuIS0","sdkVersion":"20160215"} -I agoodm.m.taobao.com -O 80 -T -Z
- chmod 500 <Package Folder>/files/DaemonServer
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- sh
Загружает динамические библиотеки:
- libjiagu
- tnet-2.1.20
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации о настроках APN.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
