Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Spy.2442
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) et2-na6####.wagbr####.ali####.####.com:80
- TCP(HTTP/1.1) aliyun-####.al####.com:80
- TCP(HTTP/1.1) l####.cc:80
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) a####.a####.m.####.com:80
- UDP(NTP) 10.1####.33.49:123
- UDP(NTP) s1a.t####.edu.cn:123
- UDP(NTP) d####.s####.edu.cn:123
- UDP(NTP) cn.p####.ntp.org:123
- UDP(NTP) 0.a####.p####.####.org:123
- UDP(NTP) 10.1####.0.46:123
- UDP(NTP) n####.neu.edu.cn:123
- UDP(NTP) 2.a####.p####.####.org:123
- UDP(NTP) 3.a####.p####.####.org:123
- UDP(NTP) 10.1####.33.50:123
- UDP(NTP) 1.a####.p####.####.org:123
- UDP(NTP) 10.1####.0.44:123
- UDP(NTP) 10.1####.33.51:123
- UDP(NTP) nt####.chl.la:123
- UDP(NTP) dns.s####.edu.cn:123
- UDP(NTP) ntp.gw####.cn:123
- UDP(NTP) 10.1####.0.45:123
- UDP(NTP) ntp.g####.edu.cn:123
- TCP(TLS/1.0) 1####.217.20.110:443
- TCP zb-cent####.m.ta####.com:443
Запросы DNS:
- 0.a####.p####.####.org
- 1.a####.p####.####.org
- 2.a####.p####.####.org
- 3.a####.p####.####.org
- a####.m.ta####.com
- a####.u####.com
- accscdn####.m.ta####.com
- acs4pu####.m.ta####.com
- ag####.m.ta####.com
- cn.p####.ntp.org
- d####.s####.edu.cn
- d####.s####.edu.cn
- dns.s####.edu.cn
- l####.cc
- log.u####.com
- mpush####.al####.com
- n####.neu.edu.cn
- nt####.chl.la
- ntp.g####.edu.cn
- ntp.gw####.cn
- s####.u####.com
- s1a.t####.edu.cn
- we####.xin-####.com
Запросы HTTP GET:
- et2-na6####.wagbr####.ali####.####.com/bar/get/58523b30cae7e72b25000ea1/...
- l####.cc/i/sdk/is_gal?sign=####&android_id=####&retry_times=####&linkedm...
Запросы HTTP POST:
- a####.a####.m.####.com/amdc/mobileDispatch?appkey=####&deviceId=####&pla...
- a####.u####.com/app_logs
- aliyun-####.al####.com/bind-tag
- aliyun-####.al####.com/config
- aliyun-####.al####.com/remove-alias
- aliyun-####.al####.com/unbind-tag
- l####.cc/i/sdk/install
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/1556780399066.log
- /data/data/####/ACCS_BIND23749060.xml
- /data/data/####/ACCS_SDK.xml
- /data/data/####/ACCS_SDK_CHANNEL.xml
- /data/data/####/AGOO_BIND.xml
- /data/data/####/Agoo_AppStore.xml
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/DaemonServer
- /data/data/####/LKME_Server_Request_Queue.xml
- /data/data/####/accs.db-journal
- /data/data/####/agoo.pid
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/com.xinshui.xsapp_preferences.xml
- /data/data/####/eudemon
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/libjiagu.so
- /data/data/####/linkedme_referral_shared_pref.xml
- /data/data/####/message_accs_db
- /data/data/####/message_accs_db-journal
- /data/data/####/multidex.version.xml
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/umeng_socialize.xml
- /data/data/####/user_data.xml
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/webviewCookiesChromiumPrivate.db-journal
- /data/media/####/.lm_device_id
- /data/media/####/.nomedia
- /data/media/####/43100be22087411499f2dfaf63e933d4
- /data/media/####/56989d60314745d198b9c845a037fda9
- /data/media/####/7bd0db527eec4309860e930ffca7dfce
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/ee8102986b3244809d955e5e1d92931d
- /data/media/####/journal.tmp
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/files/DaemonServer -s <Package Folder>/lib/ -n runServer -p startservice -n <Package>/com.taobao.accs.ChannelService --user 0 -f <Package Folder> -t 600 -c agoo.pid -P <Package Folder> -K 1009527 -U tb_accs_eudemon_1.1.3 -L http://agoodm.m.taobao.com/agoo/report -D {"package":"<Package>","appKey":"23749060","utdid":"XMqVbQHtre4DAGdzx1GoPcmH","sdkVersion":"221"} -I agoodm.m.taobao.com -O 80 -T -Z
- cat /sys/class/net/wlan0/address
- chmod 500 <Package Folder>/files/DaemonServer
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- sh
Загружает динамические библиотеки:
- libjiagu
- tnet-3.1
- ut_c_api
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-NoPadding
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-NoPadding
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
