Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.RemoteCode.86.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) m.u####.cn:80
- TCP(HTTP/1.1) beacon####.aliy####.com:80
- TCP(HTTP/1.1) www.a.sh####.com:80
- TCP(HTTP/1.1) i####.uc.cn:80
- TCP(HTTP/1.1) l####.tbs.qq.com:80
- TCP(HTTP/1.1) a####.exc.mob.com:80
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(HTTP/1.1) aexcep####.b####.qq.com:8011
- TCP(HTTP/1.1) n####.uc.cn:80
- TCP(HTTP/1.1) aexcep####.b####.qq.com:8012
- TCP(HTTP/1.1) bro####.51####.top:8080
- TCP(HTTP/1.1) zb.wagbr####.alibaba####.####.com:80
- TCP(HTTP/1.1) amdc####.m.ta####.com:80
- TCP(HTTP/1.1) sh.wagbr####.aliyun####.com:80
- TCP(HTTP/1.1) m.lxbro####.com:80
- TCP(HTTP/1.1) www.lxbro####.com:80
- TCP(HTTP/1.1) api.map.b####.com:80
- TCP(TLS/1.0) et2-na6####.wagbr####.ali####.####.com:443
- TCP(TLS/1.0) utp.u####.com:443
- TCP(TLS/1.0) ada####.m.ta####.com:443
- TCP(TLS/1.0) wap.s####.com:443
- TCP(TLS/1.0) sh.wagbr####.ta####.com:443
- TCP(TLS/1.0) msg.umengc####.com:443
- TCP(TLS/1.0) g.al####.com:443
- TCP(TLS/1.0) i####.uc.cn:443
- TCP zb-cent####.m.ta####.com:443
Запросы DNS:
- a####.b####.qq.com
- a####.exc.mob.com
- a####.man.aliy####.com
- acc####.m.ta####.com
- ada####.ut.ta####.com
- adas####.ut.ta####.com
- aexcep####.b####.qq.com
- ag####.m.ta####.com
- amdc####.m.ta####.com
- and####.b####.qq.com
- api.map.b####.com
- beacon####.aliy####.com
- bro####.51####.top
- g.al####.com
- i####.uc.cn
- l####.tbs.qq.com
- m.lxbro####.com
- m.u####.cn
- msg.umengc####.com
- n####.uc.cn
- plb####.u####.com
- sem####.g####.com
- t.s####.com
- top.b####.com
- u####.u####.com
- umen####.m.ta####.com
- utp.u####.com
- wap.s####.com
- www.lxbro####.com
- z####.sm.cn
Запросы HTTP GET:
- api.map.b####.com/location/ip?ip=####&ak=####&coor=####
- bro####.51####.top:8080/Browser/AppData/GetItemUrlVersionCode?strEnti####
- bro####.51####.top:8080/Browser/AppData/GetNewapk?versionName=####&chann...
- bro####.51####.top:8080/fileAnnexes/download/516b9af9-37cf-415f-946c-2cd...
- i####.uc.cn/s/uae/g/1y/libs/sdklibs.shim.1.1.2.js
- i####.uc.cn/s/uae/g/1y/xiss.webapp/assets/png/refresh.a03b01c374.png?for...
- i####.uc.cn/s/uae/g/1y/xiss.webapp/iflowsdk.d9b2a9d55f.js
- i####.uc.cn/s/uae/g/36/per/1.1/m/c/performance.min.js
- m.lxbro####.com/js/JavaScript.zip
- m.lxbro####.com/json/WebApp.json
- m.lxbro####.com/json/keyWebs.json
- m.lxbro####.com/json/verno.json
- m.u####.cn/iflow/api/v1/channel/100?app=####&zzd_from=####&uc_param_str=...
- m.u####.cn/image-sm/icon/ucbrowser.ico
- m.u####.cn/log/api/v1/client/info?app=####&client_os=####&sn=####&fr=###...
- m.u####.cn/webview/newslist?app=####&zzd_from=####&uc_param_str=####&uc_...
- n####.uc.cn/3/classes/sdk_loader_maps/lists/xiss.webapp.iflowsdk.master?...
- n####.uc.cn/3/classes/wolongConfig/objects?_app_id=####&_size=####&_page...
- n####.uc.cn/3/classes/xiss_admin/objects/cfc351643f1b2db1e7b578ad9c95660...
- www.a.sh####.com/mobile_v2/buzz?b=####&c=####
- www.lxbro####.com/switchModal.aspx?channel=####&versionName=####&version...
- zb.wagbr####.alibaba####.####.com/
Запросы HTTP POST:
- a####.exc.mob.com/errconf
- aexcep####.b####.qq.com:8011/rqd/async
- aexcep####.b####.qq.com:8012/rqd/async
- amdc####.m.ta####.com/amdc/mobileDispatch?appkey=####&deviceId=####&plat...
- and####.b####.qq.com/rqd/async
- beacon####.aliy####.com/beacon/fetch/config/byappkey
- bro####.51####.top:8080/Browser/AppData/InfoView
- bro####.51####.top:8080/Browser/AppData/PhoneInfoBrowserCode
- l####.tbs.qq.com/ajax?c=####&k=####
- sh.wagbr####.aliyun####.com/man/api?ak=####&s=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.duid
- /data/data/####/.imprint
- /data/data/####/.lock
- /data/data/####/.vpl_lock
- /data/data/####/00000000.png
- /data/data/####/0a45df00-0647-40a7-8a92-4ae625e529d0.png
- /data/data/####/0aaffc6b-da11-4601-96cd-9c01c895f6fd.png
- /data/data/####/0e06eb66-df7c-4b28-9f9a-14ea5bd1d5da.png
- /data/data/####/0f3d5c2f-5723-4ba1-b124-44da5d92b18b.png
- /data/data/####/1243f8ca-5543-40c4-ba46-5ec67919eaab.jpg
- /data/data/####/1243f8ca-5543-40c4-ba46-5ec67919eaab.png
- /data/data/####/339b4176-dea6-4d34-862e-2d24b6134954.jpg
- /data/data/####/339b4176-dea6-4d34-862e-2d24b6134954.png
- /data/data/####/33a5213a-46d5-4a66-b1dd-32e8225db167.png
- /data/data/####/3b8c3bce-3458-4c7c-9bab-720fd6a46853.gif
- /data/data/####/3b8c3bce-3458-4c7c-9bab-720fd6a46853.png
- /data/data/####/3ee06eba-7eae-4652-93b5-6882f0d3e6b4.jpg
- /data/data/####/3ee06eba-7eae-4652-93b5-6882f0d3e6b4.png
- /data/data/####/4c2690fa-6ada-4312-bc69-13d46c7b8ba3.jpg
- /data/data/####/4c2690fa-6ada-4312-bc69-13d46c7b8ba3.png
- /data/data/####/510d1bee-6f93-43ed-b3ae-83cd07fa0b95.jpg
- /data/data/####/5cc2bed6-5add-48a4-a945-8144251ea23d.jpg
- /data/data/####/5cc2bed6-5add-48a4-a945-8144251ea23d.png
- /data/data/####/6235d68f-d44e-48b5-84cf-cb24f9af8899.png
- /data/data/####/66476e30-0a14-4373-80e6-faf191ce28e6.png
- /data/data/####/7c5b18b9-7da8-41c8-8af9-669ee58bfc24.jpg
- /data/data/####/7c5b18b9-7da8-41c8-8af9-669ee58bfc24.png
- /data/data/####/7fcc6d13-fe22-4774-80ac-7a6dd391a093.png
- /data/data/####/82854a48-09f1-44ad-823e-a1aee3f2a16f.jpg
- /data/data/####/88cc6c6c-ad1e-4af2-9f44-80620f933287.png
- /data/data/####/8da302e5-32d3-45d7-b859-d6a00401ef4b.jpg
- /data/data/####/9034ae15-52d7-49b5-85c0-0893e2965f72.png
- /data/data/####/9253522b-4f1a-4a79-bb54-9f7eee92ecde.jpg
- /data/data/####/96e07c43-76d2-475f-a5cf-6f4ef84d965a.jpg
- /data/data/####/9f7eee92ecde-00000000.png
- /data/data/####/9f7eee92ecde-10000.png
- /data/data/####/9f7eee92ecde-11203.png
- /data/data/####/9f7eee92ecde-14042.png
- /data/data/####/9f7eee92ecde-1462367.png
- /data/data/####/9f7eee92ecde-2144956.png
- /data/data/####/9f7eee92ecde-6012.png
- /data/data/####/9f7eee92ecde-60228.png
- /data/data/####/9f7eee92ecde-7001.png
- /data/data/####/9f7eee92ecde-75832.jpg
- /data/data/####/9f7eee92ecde-75832.png
- /data/data/####/9f7eee92ecde-9005.png
- /data/data/####/9f7eee92ecde-9129.png
- /data/data/####/9f7eee92ecde-9134.png
- /data/data/####/9f7eee92ecde-9160.png
- /data/data/####/9f7eee92ecde-9219.png
- /data/data/####/9f7eee92ecde-9333.png
- /data/data/####/9f7eee92ecde-9444.png
- /data/data/####/9f7eee92ecde-9462.png
- /data/data/####/9f7eee92ecde-9510.png
- /data/data/####/9f7eee92ecde-9759.png
- /data/data/####/ACCS_BINDumeng;5c7f94ac2036579138000314.xml
- /data/data/####/ACCS_SDK.xml
- /data/data/####/ACCS_SDK_CHANNEL.xml
- /data/data/####/ACCS_SDK_CHANNEL.xml.bak (deleted)
- /data/data/####/AGOO_BIND.xml
- /data/data/####/Agoo_AppStore.xml
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/DaemonServer
- /data/data/####/JavaScript.zip
- /data/data/####/LX
- /data/data/####/LX-journal
- /data/data/####/License.doc
- /data/data/####/MessageStore.db-journal
- /data/data/####/MsgLogStore.db-journal
- /data/data/####/MultiDex.lock
- /data/data/####/Service_preference.xml
- /data/data/####/ThrowalbeLog.db-journal
- /data/data/####/UM_PROBE_DATA.xml
- /data/data/####/UTCommon.xml
- /data/data/####/WebApp.json
- /data/data/####/WebpageIcons.db-journal
- /data/data/####/_city.json
- /data/data/####/a1c22502-e95c-45ec-b51b-80bcc23e9a18.png
- /data/data/####/a235d68f-d44e-48b5-84cf-cb24f9af0092.png
- /data/data/####/accs.db-journal
- /data/data/####/ads_filter.ini
- /data/data/####/agoo.pid
- /data/data/####/ap.Lock
- /data/data/####/b0fb2490-1a4c-409e-bb48-9f06c6d32211.jpg
- /data/data/####/bookmarks.db-journal
- /data/data/####/bugly_db_legu-journal
- /data/data/####/c1901036-0028-49e1-99ea-dbcd1894f974.png
- /data/data/####/c23cdc06-90ca-4463-b41c-53224271209d.ico
- /data/data/####/c23cdc06-90ca-4463-b41c-53224271209d.png
- /data/data/####/channel_umeng_common_config.xml
- /data/data/####/cn_feng_skin_pref.xml
- /data/data/####/com.fanghenet.browser_preferences.xml
- /data/data/####/com_alibaba_aliyun_crash_defend_sdk_info
- /data/data/####/core_info
- /data/data/####/d394b0ba-2fd7-4baa-b478-1d367398c77b.jpg
- /data/data/####/d6a9fdc6-3844-4f18-8b08-c70aa536c7fd.jpg
- /data/data/####/d75495f5-4145-49e6-bf6a-ce36807adc09.jpg
- /data/data/####/dW1weF9pbnRlcm5hbF8xNTU0OTk4NTA1MDk0;
- /data/data/####/dW1weF9pbnRlcm5hbF8xNTU0OTk4NTI1MjI2;
- /data/data/####/dW1weF9pbnRlcm5hbF8xNTU0OTk4NTUwMDIx;
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/dd2cc054-8d16-4304-90f9-32d1f207d166.jpg
- /data/data/####/dd2cc054-8d16-4304-90f9-32d1f207d166.png
- /data/data/####/debug.conf
- /data/data/####/domain_1
- /data/data/####/e2dc64f4-88b7-42f0-a7b3-58b28a23b2ba.jpg
- /data/data/####/e2dc64f4-88b7-42f0-a7b3-58b28a23b2ba.png
- /data/data/####/e5de4c9d-ca02-4c25-90e9-ed0a692bf9f1.png
- /data/data/####/eudemon
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/f131c563-a9d9-4db7-8e95-2af395a582c7.jpg
- /data/data/####/f3584d34-e5cc-4505-af59-1eb9b86d6a39.jpg
- /data/data/####/f5e971c6-3b3d-4190-8c81-722503912be2.jpg
- /data/data/####/f5e971c6-3b3d-4190-8c81-722503912be2.png
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/feeds.json
- /data/data/####/i==1.2.0&&V1.03_1554998505245_envelope.log
- /data/data/####/i==1.2.0&&V1.03_1554998525248_envelope.log
- /data/data/####/i==1.2.0&&V1.03_1554998550033_envelope.log
- /data/data/####/index
- /data/data/####/info.xml
- /data/data/####/insert_zepto.min.js
- /data/data/####/intercept_ads.min.js
- /data/data/####/libshella-2.9.1.2.so
- /data/data/####/libufix.so
- /data/data/####/local_crash_lock
- /data/data/####/lxbrowser_download.db-journal
- /data/data/####/message_accs_db
- /data/data/####/message_accs_db-journal
- /data/data/####/mix.dex
- /data/data/####/mob_commons_1
- /data/data/####/mob_sdk_exception_1
- /data/data/####/multidex.version.xml
- /data/data/####/native_record_lock
- /data/data/####/page_zoom.min.js
- /data/data/####/rqd_record.eup
- /data/data/####/security_info
- /data/data/####/t==8.0.2&&V1.03_1554998510634_envelope.log
- /data/data/####/tbs_download_config.xml
- /data/data/####/tbs_download_config.xml.bak
- /data/data/####/tbs_download_stat.xml
- /data/data/####/tbscoreinstall.txt
- /data/data/####/tbslock.txt
- /data/data/####/tomb.zip
- /data/data/####/tomb_1554998546968.txt
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/um_pri.xml
- /data/data/####/umdat.xml
- /data/data/####/umeng_common_config.xml
- /data/data/####/umeng_common_location.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/umeng_message_state.xml
- /data/data/####/user_preference.xml
- /data/data/####/ut.db
- /data/data/####/ut.db-journal
- /data/data/####/verno.ini
- /data/data/####/verno.json
- /data/data/####/video_channel.min.js
- /data/data/####/video_channel_head.min.js
- /data/data/####/weather.html
- /data/data/####/weave.db-journal
- /data/data/####/webItemIcons.zip
- /data/data/####/webItems.json
- /data/data/####/webItemsUser.json
- /data/data/####/webItemsVersion.json
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/webviewCookiesChromiumPrivate.db-journal
- /data/data/####/yimiao.min.js
- /data/media/####/.a.dat
- /data/media/####/.adfwe.dat
- /data/media/####/.artc_lock
- /data/media/####/.cca.dat
- /data/media/####/.di
- /data/media/####/.dic_lock
- /data/media/####/.du_lock
- /data/media/####/.duid
- /data/media/####/.globalLock
- /data/media/####/.gm_lock
- /data/media/####/.im_lock
- /data/media/####/.lesd_lock
- /data/media/####/.mn_-1464060969
- /data/media/####/.nomedia
- /data/media/####/.pkg_lock
- /data/media/####/.pkgs_lock
- /data/media/####/.rc_lock
- /data/media/####/.slw
- /data/media/####/.ss_lock
- /data/media/####/.umm.dat
- /data/media/####/.wkl
- /data/media/####/1.cmd
- /data/media/####/1.css
- /data/media/####/4599ac5ecbf949ec80d898e00fa177c0
- /data/media/####/8a2b771e2c254c6dab9c5358733ac23c
- /data/media/####/9b686583d9294e2a82c90c701d7c3386
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/ba5393d192de4c4d9f1dc16c52848f22
- /data/media/####/c340240e91594201a66dad7c17bc88d4
- /data/media/####/deviceToken
- /data/media/####/fd10032cd5424a599d34e1d71e4a2a28
- /data/media/####/sysid.dat
- /data/media/####/tbslog.txt
- /data/media/####/threme_night.skin
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
- /system/bin/sh -c getprop ro.aa.romver
- /system/bin/sh -c getprop ro.board.platform
- /system/bin/sh -c getprop ro.build.fingerprint
- /system/bin/sh -c getprop ro.build.nubia.rom.name
- /system/bin/sh -c getprop ro.build.rom.id
- /system/bin/sh -c getprop ro.build.tyd.kbstyle_version
- /system/bin/sh -c getprop ro.build.version.emui
- /system/bin/sh -c getprop ro.build.version.opporom
- /system/bin/sh -c getprop ro.gn.gnromvernumber
- /system/bin/sh -c getprop ro.lenovo.series
- /system/bin/sh -c getprop ro.lewa.version
- /system/bin/sh -c getprop ro.meizu.product.model
- /system/bin/sh -c getprop ro.miui.ui.version.name
- /system/bin/sh -c getprop ro.vivo.os.build.display.id
- /system/bin/sh -c type su
- <Package Folder>/files/DaemonServer -s <Package Folder>/lib/ -n runServer -p startservice -n <Package>/com.taobao.accs.ChannelService --user 0 -f <Package Folder> -t 600 -c agoo.pid -P <Package Folder> -K 1009527 -U tb_accs_eudemon_1.1.3 -L http://agoodm.m.taobao.com/agoo/report -D {"package":"<Package>","appKey":"umeng:5c7f94ac2036579138000314","utdid":"XK9k6HSPF/MDAGdzx1Ge9sMv","sdkVersion":"221"} -I agoodm.m.taobao.com -O 80 -T -Z
- cat /sys/class/net/wlan0/address
- chmod 500 <Package Folder>/files/DaemonServer
- chmod 700 <Package Folder>/tx_shell/libnfix.so
- chmod 700 <Package Folder>/tx_shell/libshella-2.9.1.2.so
- chmod 700 <Package Folder>/tx_shell/libufix.so
- getprop ro.aa.romver
- getprop ro.board.platform
- getprop ro.build.fingerprint
- getprop ro.build.nubia.rom.name
- getprop ro.build.rom.id
- getprop ro.build.tyd.kbstyle_version
- getprop ro.build.version.emui
- getprop ro.build.version.opporom
- getprop ro.carrier.name
- getprop ro.gn.gnromvernumber
- getprop ro.lenovo.series
- getprop ro.lewa.version
- getprop ro.meizu.product.model
- getprop ro.miui.region
- getprop ro.miui.ui.version.code
- getprop ro.miui.ui.version.name
- getprop ro.product.cpu.abi
- getprop ro.vivo.os.build.display.id
- getprop ro.yunos.version
- logcat -d -v threadtime
- ls /
- ls /sys/class/thermal
- sh
Загружает динамические библиотеки:
- Bugly
- libnfix
- libshella-2.9.1.2
- libufix
- nfix
- tnet-3.1
- ufix
- ut_c_api
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS5Padding
- AES-ECB-PKCS7Padding
- AES-GCM-NoPadding
- RSA-ECB-NoPadding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-ECB-NoPadding
- AES-ECB-PKCS5Padding
- AES-GCM-NoPadding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
