Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.RemoteCode.127.origin
Осуществляет доступ к приватному интерфейсу ITelephony.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(HTTP/1.1) nav.cn.ron####.com:80
- TCP(HTTP/1.1) sh.wagbr####.aliyun####.com:80
- TCP(HTTP/1.1) amdc####.m.ta####.com:80
- TCP(HTTP/1.1) beacon####.aliy####.com:80
- TCP(TLS/1.0) et2-na6####.wagbr####.ali####.####.com:443
- TCP(TLS/1.0) ada####.m.ta####.com:443
- TCP(TLS/1.0) s####.cn.ron####.com:443
- TCP(TLS/1.0) sh.wagbr####.ta####.com:443
- TCP 2####.119.215.161:80
- TCP 1####.92.22.163:8618
Запросы DNS:
- a####.man.aliy####.com
- ada####.ut.ta####.com
- adas####.ut.ta####.com
- ag####.m.ta####.com
- amdc####.m.ta####.com
- and####.b####.qq.com
- api.s####.com
- api.shangyu####.com
- beacon####.aliy####.com
- log.u####.com
- nav.cn.ron####.com
- s####.cn.ron####.com
- umen####.m.ta####.com
- umengj####.m.ta####.com
Запросы HTTP POST:
- amdc####.m.ta####.com/amdc/mobileDispatch?appkey=####&deviceId=####&plat...
- and####.b####.qq.com/rqd/async?aid=####
- beacon####.aliy####.com/beacon/fetch/config/byappkey
- nav.cn.ron####.com/navipush.json
- sh.wagbr####.aliyun####.com/man/api?ak=####&s=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/anr/traces.txt
- /data/data/####/.jg.ic
- /data/data/####/1002
- /data/data/####/1004
- /data/data/####/ACCS_SDK.xml
- /data/data/####/ACCS_SDK_CHANNEL.xml
- /data/data/####/Agoo_AppStore.xml
- /data/data/####/Alvin2.xml
- /data/data/####/COUNTLY_STORE.xml
- /data/data/####/ContextData.xml
- /data/data/####/DaemonServer
- /data/data/####/FwLog.xml
- /data/data/####/MessageStore.db
- /data/data/####/MessageStore.db-journal
- /data/data/####/MsgLogStore.db
- /data/data/####/MsgLogStore.db-journal
- /data/data/####/RongPush.xml
- /data/data/####/RongPushAppConfig.xml
- /data/data/####/Statistics.xml
- /data/data/####/UTCommon.xml
- /data/data/####/UTCommon.xml.bak
- /data/data/####/UTCommon.xml.bak (deleted)
- /data/data/####/accs.db
- /data/data/####/accs.db-journal
- /data/data/####/agoo.pid
- /data/data/####/ap.Lock
- /data/data/####/bugly_db_-journal
- /data/data/####/com.hitrobotgroup.hiiri.nobody.dkgc.BETA_VALUES.xml
- /data/data/####/com.hitrobotgroup.hiiri.nobody.dkgc_preferences.xml
- /data/data/####/crashrecord.xml
- /data/data/####/crashrecord.xml.bak
- /data/data/####/dkgc.db-journal
- /data/data/####/info.xml
- /data/data/####/journal
- /data/data/####/journal.tmp
- /data/data/####/libjiagu2118214612.so
- /data/data/####/local_crash_lock
- /data/data/####/locale.config.xml
- /data/data/####/message_accs_db
- /data/data/####/message_accs_db-journal
- /data/data/####/multidex.version.xml
- /data/data/####/security_info
- /data/data/####/sobot_chat_20181210_log.txt
- /data/data/####/sobot_config.xml
- /data/data/####/sobot_config.xml (deleted)
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_common_config.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_message_state.xml
- /data/data/####/ut.db
- /data/data/####/ut.db-journal
- /data/data/####/webview.db
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/webviewCookiesChromium.db-journal (deleted)
- /data/data/####/webviewCookiesChromiumPrivate.db
- /data/data/####/webviewCookiesChromiumPrivate.db-journal
- /data/media/####/.nomedia
- /data/media/####/581fdbcfeee64953a8b6087a507ab027
- /data/media/####/976413128afe44f6accbf7b6dd42b2dd
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
- /system/bin/sh -c getprop
- /system/bin/sh -c type su
- <Package Folder>/files/DaemonServer -s <Package Folder>/lib/ -n runServer -p startservice -n <Package>/com.taobao.accs.ChannelService --user 0 -f <Package Folder> -t 600 -c agoo.pid -P <Package Folder> -K 1009527 -U tb_accs_eudemon_1.1.3 -L http://agoodm.m.taobao.com/agoo/report -D {"package":"<Package>","appKey":"umeng:59e96135aed1794d6a0000a7","utdid":"XA2tsiXP5kMDAGdzx1E5AVdD","sdkVersion":"221"} -I agoodm.m.taobao.com -O 80 -T -Z
- chmod 500 <Package Folder>/files/DaemonServer
- getprop
- grep 3375
- grep 3658
- ls /sys/class/thermal
- ps
- sh
Загружает динамические библиотеки:
- Bugly
- RongIMLib
- libjiagu2118214612
- tnet-3.1
- ut_c_api
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-GCM-NoPadding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-GCM-NoPadding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
