Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.DownLoader.589.origin
Осуществляет доступ к приватному интерфейсу ITelephony.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) 1####.89.97.82:8000
- TCP(HTTP/1.1) l####.cc:80
- TCP(HTTP/1.1) large11####.c####.l####.####.com:80
- TCP(HTTP/1.1) et2-na6####.wagbr####.ali####.####.com:80
- TCP(HTTP/1.1) da####.c####.qini####.com:80
- TCP(TLS/1.0) sett####.crashly####.com:443
- TCP(TLS/1.0) a####.a####.m.####.com:443
- TCP(TLS/1.0) v####.dn####.top:443
- TCP 2####.119.215.163:80
- TCP ope####.m.ta####.com:443
Запросы DNS:
- a####.m.ta####.com
- ag####.m.ta####.com
- cdn.app.12####.top
- cdn.app.dn####.top
- fb.u####.com
- i####.yunxiao####.com
- l####.cc
- l####.yunxiao####.com
- log.u####.com
- re####.yunxiao####.com
- sett####.crashly####.com
- umen####.m.ta####.com
- umengj####.m.ta####.com
- v####.dn####.top
Запросы HTTP GET:
- da####.c####.qini####.com/dp
- et2-na6####.wagbr####.ali####.####.com/bar/get/577b1fe067e58e367a002cdd/...
- large11####.c####.l####.####.com/sfile/201902/10/all/cp_V3.1.2.txt
Запросы HTTP POST:
- et2-na6####.wagbr####.ali####.####.com/share/multi_add/577b1fe067e58e367...
- l####.cc/i/sdk/install
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/0_info.db-journal
- /data/data/####/5C60689B03E5-0001-08E9-3614C1FF262EBeginSession.cls_temp
- /data/data/####/5C60689B03E5-0001-08E9-3614C1FF262ESessionApp.cls_temp
- /data/data/####/5C60689B03E5-0001-08E9-3614C1FF262ESessionDevice.cls_temp
- /data/data/####/5C60689B03E5-0001-08E9-3614C1FF262ESessionOS.cls_temp
- /data/data/####/5C60689F02BE-0001-0951-3614C1FF262EBeginSession.cls_temp
- /data/data/####/5C60689F02BE-0001-0951-3614C1FF262ESessionApp.cls_temp
- /data/data/####/5C60689F02BE-0001-0951-3614C1FF262ESessionDevice.cls_temp
- /data/data/####/5C60689F02BE-0001-0951-3614C1FF262ESessionOS.cls_temp
- /data/data/####/5C6068A501C9-0001-09CB-3614C1FF262EBeginSession.cls_temp
- /data/data/####/5C6068A501C9-0001-09CB-3614C1FF262ESessionApp.cls_temp
- /data/data/####/5C6068A501C9-0001-09CB-3614C1FF262ESessionDevice.cls_temp
- /data/data/####/5C6068A501C9-0001-09CB-3614C1FF262ESessionOS.cls_temp
- /data/data/####/5C6068A603E3-0001-0A13-3614C1FF262EBeginSession.cls_temp
- /data/data/####/5C6068A603E3-0001-0A13-3614C1FF262ESessionApp.cls_temp
- /data/data/####/5C6068A603E3-0001-0A13-3614C1FF262ESessionDevice.cls_temp
- /data/data/####/5C6068A603E3-0001-0A13-3614C1FF262ESessionOS.cls_temp
- /data/data/####/ACCS_BINDumeng;577b1fe067e58e367a002cdd.xml
- /data/data/####/ACCS_SDK.xml
- /data/data/####/ACCS_SDK_CHANNEL.xml
- /data/data/####/Agoo_AppStore.xml
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/DaemonServer
- /data/data/####/INSTALLATION
- /data/data/####/LIN1001.xml
- /data/data/####/LIN1002.xml
- /data/data/####/LIN1003.xml
- /data/data/####/LIN1004.xml
- /data/data/####/LIN1005.xml
- /data/data/####/LIN1006.xml
- /data/data/####/LIN1007.xml
- /data/data/####/LIN1008.xml
- /data/data/####/LIN1009.xml
- /data/data/####/LIN1010.xml
- /data/data/####/LIN1011.xml
- /data/data/####/LKME_Server_Request_Queue.xml
- /data/data/####/MessageStore.db-journal
- /data/data/####/MsgLogStore.db-journal
- /data/data/####/QALConfigStore.dat
- /data/data/####/TLS_DEVICE_INFO.xml
- /data/data/####/TwitterAdvertisingInfoPreferences.xml
- /data/data/####/V3.1.2.txt
- /data/data/####/V3.1.2.xml
- /data/data/####/WLOGIN_DEVICE_INFO.xml
- /data/data/####/account.db-journal
- /data/data/####/accs.db-journal
- /data/data/####/agoo.pid
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/com.crashlytics.prefs.xml
- /data/data/####/com.crashlytics.sdk.android;answers;settings.xml
- /data/data/####/com.crashlytics.settings.json
- /data/data/####/core_info
- /data/data/####/firstedlink.xml
- /data/data/####/imei
- /data/data/####/initialization_marker
- /data/data/####/inittime.xml
- /data/data/####/io.fabric.sdk.android;fabric;io.fabric.sdk.android.n.xml
- /data/data/####/journal.tmp
- /data/data/####/kr.xml
- /data/data/####/kr.xml (deleted)
- /data/data/####/libjiagu.so
- /data/data/####/linkedme_referral_shared_pref.xml
- /data/data/####/message_accs_db
- /data/data/####/message_accs_db-journal
- /data/data/####/mobclick_agent_cached_dfjghsazdkfjhdf.zkldsjfgh...000000
- /data/data/####/multidex.version.xml
- /data/data/####/nh.jar
- /data/data/####/report_v5.msgstore-journal
- /data/data/####/sa_c68cbb3c-c34f-4e45-a03d-14e21ec8d54f_1549822108241.tap
- /data/data/####/session_analytics.tap
- /data/data/####/session_analytics.tap (deleted)
- /data/data/####/session_analytics.tap.tmp
- /data/data/####/share_data.xml
- /data/data/####/t_u.db-journal
- /data/data/####/tbs_download_config.xml
- /data/data/####/tbscoreinstall.txt
- /data/data/####/tbslock.txt
- /data/data/####/tls_device.dat
- /data/data/####/umeng_feedback_conversations.xml
- /data/data/####/umeng_feedback_user_info.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_socialize.xml
- /data/data/####/vbz.xml
- /data/data/####/vc.jar
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/webviewCookiesChromiumPrivate.db-journal
- /data/data/####/wlogin_device.dat
- /data/media/####/.lm_device_id
- /data/media/####/.nomedia
- /data/media/####/0c4be8687f184052b72638f5ad3da126
- /data/media/####/783280591.tmp
- /data/media/####/783280592.tmp
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/app.19.02.10.18.log
- /data/media/####/fa7e4565ab00442d80c4b8f58711dcac
- /data/media/####/imsdk_20190210.log
- /data/media/####/sdk.19.02.10.18.log
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/files/DaemonServer -s <Package Folder>/lib/ -n runServer -p startservice -n <Package>/com.taobao.accs.ChannelService --user 0 -f <Package Folder> -t 600 -c agoo.pid -P <Package Folder> -K 1009527 -U tb_accs_eudemon_1.1.3 -L http://agoodm.m.taobao.com/agoo/report -D {"package":"<Package>","appKey":"umeng:577b1fe067e58e367a002cdd","utdid":"XGBonDFkdGoDAGdzx1Gz3Yk3","sdkVersion":"220"} -I agoodm.m.taobao.com -O 80 -T -Z
- cat /sys/class/net/wlan0/address
- chmod 500 <Package Folder>/files/DaemonServer
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- getprop ro.product.cpu.abi
- sh
Загружает динамические библиотеки:
- _imcore_jni_gyp
- libjiagu
- libwtcrypto
- qalcodecwrapper
- qalmsfboot
- tnet-3.1
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-NoPadding
- AES-CBC-PKCS5Padding
- DESede-ECB-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-NoPadding
- DES
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
