Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Waps.5.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) aexcep####.b####.qq.com:8011
- TCP(HTTP/1.1) aexcep####.b####.qq.com:8012
- TCP(HTTP/1.1) msg.umengc####.com:80
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(HTTP/1.1) app.w####.cn:80
- TCP(HTTP/1.1) api.m.ta####.com:80
- TCP(HTTP/1.1) o####.b####.cn:80
- TCP(TLS/1.0) 2####.58.211.110:443
- TCP 1####.205.36.15:80
Запросы DNS:
- a####.b####.qq.com
- a####.m.ta####.com
- aexcep####.b####.qq.com
- ag####.m.ta####.com
- and####.b####.qq.com
- api.m.ta####.com
- app.w####.cn
- msg.umengc####.com
- o####.b####.cn
Запросы HTTP GET:
- api.m.ta####.com/rest/api3.do?t=####&deviceId=####&imei=####&appKey=####...
- api.m.ta####.com/rest/api3.do?ttid=####&t=####&deviceId=####&imei=####&a...
- api.m.ta####.com/rest/api3.do?ttid=####&t=####&imei=####&appKey=####&v=#...
- api.m.ta####.com/spdyip/?appkey=####&ttid=####&deviceId=####&imei=####&n...
- app.w####.cn/action/account/getinfo?app_id=####&udid=####&imsi=####&net=...
- app.w####.cn/action/connect/active?app_id=####&udid=####&imsi=####&net=#...
Запросы HTTP POST:
- aexcep####.b####.qq.com:8011/rqd/async
- aexcep####.b####.qq.com:8012/rqd/async
- and####.b####.qq.com/rqd/async
- app.w####.cn/action/user_info
- msg.umengc####.com/v2/launch
- msg.umengc####.com/v2/register
- o####.b####.cn/8/find
- o####.b####.cn/8/init
- o####.b####.cn/8/secret
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/AGOO_CONNECT.xml
- /data/data/####/AGOO_HOST.xml
- /data/data/####/Alvin2.xml
- /data/data/####/AppSettings.xml
- /data/data/####/AppStore.xml
- /data/data/####/AppStore.xml.bak
- /data/data/####/CacheTime.dat
- /data/data/####/ContextData.xml
- /data/data/####/DaemonServer
- /data/data/####/MsgLogStore.db
- /data/data/####/MsgLogStore.db-journal
- /data/data/####/PhoneUtil.xml
- /data/data/####/SecureSharedPreferences.xml
- /data/data/####/ShowAdFlag.xml
- /data/data/####/UmengLocalNotificationStore.db
- /data/data/####/UmengLocalNotificationStore.db-journal
- /data/data/####/agoo.pid
- /data/data/####/bmob_sp.xml
- /data/data/####/bugly_db_legu
- /data/data/####/bugly_db_legu-journal
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/crypto.KEY_256.xml
- /data/data/####/device_id.xml.xml
- /data/data/####/libnfix.so
- /data/data/####/libshella-2.8.so
- /data/data/####/libufix.so
- /data/data/####/local_crash_lock
- /data/data/####/mix.dex
- /data/data/####/mix.so
- /data/data/####/mobclick_agent_cached_com.z.adbshellcommand2000000005
- /data/data/####/native_record_lock
- /data/data/####/rqd_record.eup
- /data/data/####/security_info
- /data/data/####/tomb.zip
- /data/data/####/tomb_1551250870651.txt
- /data/data/####/tomb_1551250906548.txt
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_message_state.xml
- /data/data/####/z.so
- /data/data/####/z.so (deleted)
- /data/media/####/Alvin2.xml
- /data/media/####/AppPackage.dat
- /data/media/####/CacheTime.dat
- /data/media/####/ContextData.xml
- /data/media/####/UnPackage.dat
- /data/media/####/android
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop ro.aa.romver
- /system/bin/sh -c getprop ro.board.platform
- /system/bin/sh -c getprop ro.build.fingerprint
- /system/bin/sh -c getprop ro.build.nubia.rom.name
- /system/bin/sh -c getprop ro.build.rom.id
- /system/bin/sh -c getprop ro.build.tyd.kbstyle_version
- /system/bin/sh -c getprop ro.build.version.emui
- /system/bin/sh -c getprop ro.build.version.opporom
- /system/bin/sh -c getprop ro.gn.gnromvernumber
- /system/bin/sh -c getprop ro.lenovo.series
- /system/bin/sh -c getprop ro.lewa.version
- /system/bin/sh -c getprop ro.meizu.product.model
- /system/bin/sh -c getprop ro.miui.ui.version.name
- /system/bin/sh -c getprop ro.vivo.os.build.display.id
- /system/bin/sh -c type su
- <Package Folder>/files/DaemonServer -s <Package Folder>/lib/ -n runServer -p startservice -n <Package>/com.umeng.message.UmengService --es cockroach cockroach-PPreotect --es pack <Package> --user 0 -f <Package Folder> -t 600 -c agoo.pid -P <Package Folder> -K 1009527 -U tb_android_daemon_1.1.0 -L http://agoodm.m.taobao.com/agoo/report -D {"package":"<Package>","appKey":"umeng:57119c6fe0f55aef44000be0","utdid":"XHY1sRTmWp0DAGdzx1Gu2D+7","sdkVersion":"20160215"} -I agoodm.m.taobao.com -O 80 -T -Z
- chmod 500 <Package Folder>/files/DaemonServer
- chmod 700 <Package Folder>/tx_shell/libnfix.so
- chmod 700 <Package Folder>/tx_shell/libshella-2.8.so
- chmod 700 <Package Folder>/tx_shell/libufix.so
- getprop ro.aa.romver
- getprop ro.board.platform
- getprop ro.build.fingerprint
- getprop ro.build.nubia.rom.name
- getprop ro.build.rom.id
- getprop ro.build.tyd.kbstyle_version
- getprop ro.build.version.emui
- getprop ro.build.version.opporom
- getprop ro.gn.gnromvernumber
- getprop ro.lenovo.series
- getprop ro.lewa.version
- getprop ro.meizu.product.model
- getprop ro.miui.ui.version.name
- getprop ro.vivo.os.build.display.id
- getprop ro.yunos.version
- logcat -d -v threadtime
- sh
- su
Загружает динамические библиотеки:
- Bugly
- conceal
- libnfix
- libshella-2.8
- libufix
- nfix
- tnet-2.1.20
- ufix
- z
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-GCM-NoPadding
- DES
- DES-CBC-PKCS5Padding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-GCM-NoPadding
- DES
- DES-CBC-PKCS5Padding
Использует повышенные привилегии.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию о настроках APN.
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
