Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Xiny.288.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) ispea####.xdf.cn:80
- TCP(HTTP/1.1) u####.umengc####.com:80
- TCP(HTTP/1.1) rp-na####.ron####.com:80
- TCP(HTTP/1.1) msg.umengc####.com:80
- TCP(HTTP/1.1) a####.m.ta####.com:80
- TCP(HTTP/1.1) a.appj####.com:80
- TCP(HTTP/1.1) loc.map.b####.com:80
- TCP(HTTP/1.1) api.m.ta####.com:80
- TCP(TLS/1.0) s####.cn.ron####.com:443
- TCP 1####.92.33.224:8612
- TCP 1####.11.61.13:80
Запросы DNS:
- a####.m.ta####.com
- a####.u####.com
- a.appj####.com
- fb.u####.com
- ispea####.xdf.cn
- loc.map.b####.com
- msg.umengc####.com
- nav.cn.ron####.com
- s####.cn.ron####.com
- u####.umengc####.com
- u####.umengc####.com
Запросы HTTP GET:
- api.m.ta####.com/spdyip/?appkey=####&ttid=####&deviceId=####&imei=####&n...
- ispea####.xdf.cn/XDFApps_v1/appios/highFrequencyQuestion/getAdHighfreque...
- ispea####.xdf.cn/XDFApps_v1/appios/highFrequencyQuestion/getHighFreList?...
- ispea####.xdf.cn/upload/userData/ad/1/1505976654031_small.jpg
- ispea####.xdf.cn/upload/userData/ad/1/1506514419248_small.jpg
- ispea####.xdf.cn/upload/userData/ad/1/1508310279083_small.jpg
- ispea####.xdf.cn/upload/userData/ad/1/1520497585348_small.png
- ispea####.xdf.cn/upload/userData/ad/1/1520497673801_small.png
- ispea####.xdf.cn/upload/userData/ad/1/1523177032851_small.jpg
- ispea####.xdf.cn/upload/userData/ad/1/1523946657850_small.jpg
- ispea####.xdf.cn/upload/userData/ad/1/1529487828473_small.png
- ispea####.xdf.cn/upload/userData/papers/1/1459408501866_small.jpg
- ispea####.xdf.cn/upload/userData/papers/1/1461064712650_small.jpg
- ispea####.xdf.cn/upload/userData/papers/1/1463020202534_small.jpg
- ispea####.xdf.cn/upload/userData/papers/1/1463022571990_small.jpg
- ispea####.xdf.cn/upload/userData/papers/1/1463132165937_small.jpg
- ispea####.xdf.cn/upload/userData/papers/1/1463561083059_small.jpg
- ispea####.xdf.cn/upload/userData/papers/1/1464319095814_small.jpg
- ispea####.xdf.cn/upload/userData/papers/1/1464333813510_small.jpg
- ispea####.xdf.cn/upload/userData/papers/1/1465715115899_small.jpg
- ispea####.xdf.cn/upload/userData/papers/1/1467015368003_small.jpg
- ispea####.xdf.cn/upload/userData/papers/1/1467019790192_small.jpg
- ispea####.xdf.cn/upload/userData/papers/1/1467359750825_small.jpg
- ispea####.xdf.cn/upload/userData/papers/1/1467703249347_small.jpg
- ispea####.xdf.cn/upload/userData/papers/1/1467703958925_small.jpg
- ispea####.xdf.cn/upload/userData/papers/1/1467959340000_small.jpg
- ispea####.xdf.cn/upload/userData/papers/1/1470795370445_small.jpg
- ispea####.xdf.cn/upload/userData/papers/1/1470809449116_small.jpg
- ispea####.xdf.cn/upload/userData/papers/1/1471415182684_small.jpg
- ispea####.xdf.cn/upload/userData/papers/1/1471918811963_small.jpg
- ispea####.xdf.cn/upload/userData/papers/1/1474871271095_small.jpg
- ispea####.xdf.cn/upload/userData/papers/1/1474878097769_small.jpg
- ispea####.xdf.cn/upload/userData/papers/1/1476078379032_small.jpg
- ispea####.xdf.cn/upload/userData/papers/1/1476081471245_small.jpg
- ispea####.xdf.cn/upload/userData/papers/1/1476178671853_small.jpg
- u####.umengc####.com/rest/api3.do?t=####&deviceId=####&imei=####&appKey=...
- u####.umengc####.com/rest/api3.do?ttid=####&t=####&deviceId=####&imei=##...
- u####.umengc####.com/rest/api3.do?ttid=####&t=####&imei=####&appKey=####...
Запросы HTTP POST:
- a####.m.ta####.com/rest/gc?ak=####&av=####&c=####&v=####&s=####&d=####&s...
- a####.m.ta####.com/rest/sur?ak=####&av=####&c=####&v=####&s=####&d=####&...
- a####.u####.com/app_logs
- a.appj####.com/ad-service/ad/mark
- ispea####.xdf.cn/XDFApps_v1/appios/login/upVersion.do
- loc.map.b####.com/offline_loc
- loc.map.b####.com/sdk.php
- msg.umengc####.com/v2/alias
- msg.umengc####.com/v2/register
- rp-na####.ron####.com/navipush.json
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/AGOO_CONNECT.xml
- /data/data/####/AGOO_HOST.xml
- /data/data/####/Alvin2.xml
- /data/data/####/AppStore.xml
- /data/data/####/COUNTLY_STORE.xml
- /data/data/####/ContextData.xml
- /data/data/####/DaemonServer
- /data/data/####/MsgLogStore.db-journal
- /data/data/####/PhoneUtil.xml
- /data/data/####/RongPush.xml
- /data/data/####/Statistics.xml
- /data/data/####/UTMCBase.xml
- /data/data/####/UTMCConf2117966738.xml
- /data/data/####/UTMCLog2117966738.xml
- /data/data/####/UmengLocalNotificationStore.db-journal
- /data/data/####/agoo.pid
- /data/data/####/cn.xdf.ispeaking-journal
- /data/data/####/fb_audio_switch.xml
- /data/data/####/feedback_push.xml
- /data/data/####/firll.dat
- /data/data/####/jg_app_update_settings_random.xml
- /data/data/####/libcuid.so
- /data/data/####/libjiagu.so
- /data/data/####/mobclick_agent_online_setting_cn.xdf.ispeaking.xml
- /data/data/####/multidex.version.xml
- /data/data/####/ofl.config
- /data/data/####/ofl_location.db
- /data/data/####/ofl_location.db-journal
- /data/data/####/ofl_statistics.db
- /data/data/####/ofl_statistics.db-journal
- /data/data/####/rong_version.db
- /data/data/####/rong_version.db-journal
- /data/data/####/s_update.xml
- /data/data/####/share_data.xml
- /data/data/####/umeng_feedback_conversations.xml
- /data/data/####/umeng_feedback_user_info.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/umeng_message_state.xml
- /data/media/####/.cuid
- /data/media/####/.cuid2
- /data/media/####/01eae178cfbeea3e2b880c24c7e0fb52675c8e82b30378....0.tmp
- /data/media/####/041c8957124b41c5200128f71bd3ff44ba8dde16a93a46....0.tmp
- /data/media/####/0efb67e9cb4cffe151d4fb8d5855450c42665dbb1e81ea....0.tmp
- /data/media/####/142e01f26ded63439ef53c593a604cc85c7170c2e6c725....0.tmp
- /data/media/####/1983797ce59c95be321132a406c0a586c0c16a23f0170c....0.tmp
- /data/media/####/1ac3e8dcd8d8f0e6e27432f120b2f4e40788675b527f51....0.tmp
- /data/media/####/250b7b09b6522895f0ccf7894919bc9adaeb702eeaf6f0....0.tmp
- /data/media/####/35b127185507ea6d5b6b3a30f0b1e0b6bf8249e09bd60f....0.tmp
- /data/media/####/39906d4de7e216019597be757ddb09b2c73283d9e756a3....0.tmp
- /data/media/####/425b4ddb636fa7e2c40017adcbdc13091878daf5a1664e....0.tmp
- /data/media/####/4afca1b49e0bedcd5aed10f6cc1716522755df705fc079....0.tmp
- /data/media/####/4e7df5d3f9fedcc7941a44b2ab6ce05c93acf401fadc6f....0.tmp
- /data/media/####/5210cf1a2dd9f71e1f4b9924c4508e3220a6e4e7fdb87b....0.tmp
- /data/media/####/54F553DF75981C988FD3F513C24A63B1
- /data/media/####/5e8bdc34aeece243f7d9f70382c18d8cdb582e208ab7c6....0.tmp
- /data/media/####/5f73ee971d8a1b8314c32a4f5992395f0ffb2348e1cb01....0.tmp
- /data/media/####/6517a440cd189467bac769b03aea501da73ce3e0816fbc....0.tmp
- /data/media/####/6b0a3986b22bbd506dc89f53be2d6521b2d663408919f9....0.tmp
- /data/media/####/6dc6a7dabb94409c347acd98e41f819df738ab3626a28c....0.tmp
- /data/media/####/7aebd6b8b075dc424441c7031aa31483d516f5ba9e7bbf....0.tmp
- /data/media/####/7b401381e6de6956277fdb8e50d14cde50ccc36118e086....0.tmp
- /data/media/####/7de207f5729efcc8f19209b7962e8d33df5d98f7715fb5....0.tmp
- /data/media/####/7ec91914db7d2d8cddf168ce4b3d7bf5962b65d902b0df....0.tmp
- /data/media/####/9662cfcf7e716ac46f1da21703342a401c91c2ff2c89db....0.tmp
- /data/media/####/98DE9894901235C28CF0DC3949C1B732
- /data/media/####/98b595e36dc0dadab7cf712c4d872c237286d9bcdd2061....0.tmp
- /data/media/####/9bed68feccc81171941145626bb2ddc9cfdb7d8f5e1acf....0.tmp
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/a6ea86894941b1d36fc3380facbfa4b551f87c3ef089f1....0.tmp
- /data/media/####/ca56f233d60d4fe1fe2da6010dc4de436a5274d3426078....0.tmp
- /data/media/####/conlts.dat
- /data/media/####/d8b7115ecc58fd45567f8b1b7da546bb9880041982b8e0....0.tmp
- /data/media/####/dcbaf4058d367989a3996f8c8a7c5fd0404607666cd783....0.tmp
- /data/media/####/e9d121e56c7d90a181ff21011275165f1c37d52c41b3de....0.tmp
- /data/media/####/f18b9413c172a6d30c7749da24afdb17402f83b9b8e3bc....0.tmp
- /data/media/####/f36c0c5291a8b5eb986b52d3cf26bb0249f352ab7b352f....0.tmp
- /data/media/####/journal.tmp
- /data/media/####/ller.dat
- /data/media/####/ls.db
- /data/media/####/ls.db-journal
- /data/media/####/test.0
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/files/DaemonServer -s <Package Folder>/lib/ -n runServer -p startservice -a <Package>.intent.action.COCKROACH --es cockroach cockroach-PPreotect --es pack <Package> --user 0 -f <Package Folder> -t 60 -c agoo.pid -P <Package Folder> -K 9527 -U tb_android_daemon_1.1.0 -L http://100.69.168.33/agoo/report -D {"package":"<Package>","appKey":"umeng:570f322167e58e07ae0011e9","utdid":"XW6Fxnf0rvkDAGdzx1GCbqN8","sdkVersion":"20150515"} -I 100.69.168.33 -O 80 -T -Z
- chmod 500 <Package Folder>/files/DaemonServer
- chmod 755 <Package Folder>/files/libjiagu.so
- sh
Загружает динамические библиотеки:
- RongIMLib
- libjiagu
- locSDK6a
- tnet-2.0.17
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию о настроках APN.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
