Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Triada.477.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) norma-e####.m####.com:80
- TCP(HTTP/1.1) api.v2.sdk.####.cn:80
- TCP(HTTP/1.1) 1####.11.61.135:80
- TCP(HTTP/1.1) api.htp.hubc####.####.cn:45600
- TCP(HTTP/1.1) j####.lie####.cn:80
- TCP(HTTP/1.1) amdc####.m.ta####.com:80
- TCP(HTTP/1.1) 1####.11.61.137:80
- TCP(HTTP/1.1) 2####.119.214.17:80
- TCP(HTTP/1.1) api.sdk.f####.cn:80
- TCP(HTTP/1.1) r####.hubc####.com.####.net:80
- TCP(TLS/1.0) et2-na6####.wagbr####.ali####.####.com:443
- TCP(TLS/1.0) dualsta####.wagbr####.ali####.####.com:443
- TCP(TLS/1.0) api.voic####.cn:443
- TCP(TLS/1.0) abc.abcdse####.com:8888
- TCP(TLS/1.0) 2####.107.1.97:443
- TCP(TLS/1.0) p####.ou####.com:4433
- TCP(TLS/1.0) msg.umengc####.com:443
- TCP(TLS/1.0) u####.cha####.com:443
- TCP(TLS/1.0) log####.ifl####.com:443
- TCP 2####.119.215.161:443
- TCP p####.cha####.com:8989
- TCP 2####.119.215.161:80
- TCP zb-cent####.m.ta####.com:443
- TCP 1####.168.140.254:37572
- TCP 1####.168.140.254:39130
Запросы DNS:
- a####.man.aliy####.com
- abc.abcdse####.com
- ag####.m.ta####.com
- amdc####.m.ta####.com
- api.htp.hubc####.####.cn
- api.sdk.f####.cn
- api.v2.sdk.####.cn
- api.voic####.cn
- j####.lie####.cn
- log####.ifl####.com
- log.u####.com
- m####.cha####.com
- msg.umengc####.com
- norma-e####.m####.com
- p####.cha####.com
- p####.ou####.com
- plb####.u####.com
- r####.hubc####.com.cn
- u####.cha####.com
- u####.u####.com
- umen####.m.ta####.com
- umengj####.m.ta####.com
Запросы HTTP GET:
- api.htp.hubc####.####.cn:45600/mb/external/pkg?platform=####&appid=####&...
- api.htp.hubc####.####.cn:45600/mb/sdk/channel/req/v1?extInfo=####&uid=##...
- api.sdk.f####.cn/v2/initUrl?appId=####
- norma-e####.m####.com/android/exchange/getpublickey.do
- r####.hubc####.com.####.net/map/sdk/external/20190505
Запросы HTTP POST:
- amdc####.m.ta####.com/amdc/mobileDispatch?appkey=####&deviceId=####&plat...
- api.v2.sdk.####.cn/v2/aiList
- api.v2.sdk.####.cn/v2/distribute?spaceId=####
- j####.lie####.cn/v2/cp?appId=####
- norma-e####.m####.com/push/android/external/add.do
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/110632.jar
- /data/data/####/110717.jar
- /data/data/####/110933.jar
- /data/data/####/88392bd7b72544efbdf98fbcd2ac9082
- /data/data/####/ACCS_BINDumeng;532bd07d56240b2ced0823a7.xml
- /data/data/####/ACCS_SDK.xml
- /data/data/####/ACCS_SDK_CHANNEL.xml
- /data/data/####/AGOO_BIND.xml
- /data/data/####/AdDex.4.0.1.dex
- /data/data/####/Agoo_AppStore.xml
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/CookiePersistence.xml
- /data/data/####/DaemonServer
- /data/data/####/ENDPOINT_SPNAME.xml
- /data/data/####/FLY_AD_SHARED.xml
- /data/data/####/LY_AD_KEY.xml
- /data/data/####/MessageStore.db-journal
- /data/data/####/MsgLogStore.db-journal
- /data/data/####/MultiDex.lock
- /data/data/####/PreferanceUtil.xml
- /data/data/####/UM_PROBE_DATA.xml
- /data/data/####/_umeng_common_config.xml
- /data/data/####/accs.db-journal
- /data/data/####/adhubsdk_config.xml
- /data/data/####/agoo.pid
- /data/data/####/channel_umeng_common_config.xml
- /data/data/####/com.tts.hybird_preferences.xml
- /data/data/####/com.x.y.1.xml
- /data/data/####/com.x.y.2.xml
- /data/data/####/dW1weF9pbnRlcm5hbF8xNTY1MzEyMTc0NzU0;
- /data/data/####/dW1weF9pbnRlcm5hbF8xNTY1MzEyMTc3NjIw;
- /data/data/####/dW1weF9wdXNoX2xhdW5jaF8xNTY1MzEyMTg3NTIy;
- /data/data/####/dW1weF9wdXNoX3JlZ2lzdGVyXzE1NjUzMTIxNzczNjg=;
- /data/data/####/dW1weF9zaGFyZV8xNTY1MzEyMTc2ODYy;
- /data/data/####/dW1weF9zaGFyZV8xNTY1MzEyMTc4MzY0;
- /data/data/####/e95e949744424f48b3e25477f2562ba0
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/httpdns_config_cache.xml
- /data/data/####/i==1.2.0&&5.5.3_1565312174764_envelope.log
- /data/data/####/iflytek_collect_state.xml
- /data/data/####/iflytek_device_info.zip
- /data/data/####/info.xml
- /data/data/####/libjiagu23571280.so
- /data/data/####/message_accs_db
- /data/data/####/message_accs_db-journal
- /data/data/####/multidex.version.xml
- /data/data/####/mz_push_preference.xml
- /data/data/####/share.db-journal
- /data/data/####/t==8.0.0&&5.5.3_1565312176547_envelope.log
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/um_pri.xml
- /data/data/####/umdat.xml
- /data/data/####/umeng_common_config.xml
- /data/data/####/umeng_common_location.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/umeng_message_state.xml
- /data/data/####/umeng_socialize.xml
- /data/data/####/webview.db-journal
- /data/media/####/.a.dat
- /data/media/####/.adfwe.dat
- /data/media/####/.cca.dat
- /data/media/####/.nomedia
- /data/media/####/.umm.dat
- /data/media/####/01ee7c8157cd73a315b1099aafcc974c.xml
- /data/media/####/2019-08-09.log.txt
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/ae0aa4f733c943b7737f089ef52a7986.xml
- /data/media/####/b012ad571e06c03ad8839b4dc4109840.xml
- /data/media/####/deviceToken
- /data/media/####/journal.tmp
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /proc/cpuinfo
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
- <Package Folder>/files/DaemonServer -s <Package Folder>/lib/ -n runServer -p startservice -n <Package>/com.taobao.accs.ChannelService --user 0 -f <Package Folder> -t 600 -c agoo.pid -P <Package Folder> -K 1009527 -U tb_accs_eudemon_1.1.3 -L http://agoodm.m.taobao.com/agoo/report -D {"package":"<Package>","appKey":"umeng:532bd07d56240b2ced0823a7","utdid":"XUzErUicS3cDAGdzx1EVBWr/","sdkVersion":"221"} -I agoodm.m.taobao.com -O 80 -T -Z
- chmod 500 <Package Folder>/files/DaemonServer
- ls -l /system/bin/su
- ls /
- ls /sys/class/thermal
- sh
Загружает динамические библиотеки:
- libjiagu23571280
- passwordlib
- tnet-3.1
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS7Padding
- Des-ECB-NoPadding
- RSA
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-ECB-PKCS7Padding
- Des-ECB-NoPadding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
