Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.DownLoader.906.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) no####.p####.cn:80
- TCP(HTTP/1.1) gd.a.s####.com:80
- TCP(HTTP/1.1) i####.cc:8089
- TCP(HTTP/1.1) rp.hp####.cn:80
- TCP(HTTP/1.1) sdk####.hp####.cn:80
- TCP(HTTP/1.1) i####.hp####.cn:80
- TCP(HTTP/1.1) imgnan####.litiant####.com:80
- TCP(HTTP/1.1) amdc####.m.ta####.com:80
- TCP(HTTP/1.1) i####.jiankan####.com:80
- TCP(SSL/3.0) st####.ho####.com.####.io:443
- TCP(TLS/1.0) www.googlea####.com:443
- TCP(TLS/1.0) et2-na6####.wagbr####.ali####.####.com:443
- TCP(TLS/1.0) www.googlet####.com:443
- TCP(TLS/1.0) www.elmatec####.com:443
- TCP(TLS/1.0) googl####.g.doublec####.net:443
- TCP(TLS/1.0) pag####.googles####.com:443
- TCP(TLS/1.0) tpc.googles####.com:443
- TCP(TLS/1.0) dualsta####.wagbr####.ali####.####.com:443
- TCP(TLS/1.0) app-mea####.com:443
- TCP(TLS/1.0) www.go####.com:443
- TCP(TLS/1.0) www.gst####.com:443
- TCP(TLS/1.0) 1####.217.168.206:443
- TCP(TLS/1.0) 2####.107.1.97:443
- TCP(TLS/1.0) sh.wagbr####.aliyun####.com:443
- TCP(TLS/1.0) f####.google####.com:443
- TCP(TLS/1.0) www.google-####.com:443
- TCP(TLS/1.0) st####.ho####.com.####.io:443
- TCP(TLS/1.0) ada####.m.ta####.com:443
- TCP zb-cent####.m.ta####.com:443
- TCP 47.1####.70.186:8080
- TCP 1####.23.188.39:8080
Запросы DNS:
- 254.106.168.####.arpa
- a####.man.aliy####.com
- ada####.ut.ta####.com
- ag####.m.ta####.com
- amdc####.m.ta####.com
- app-mea####.com
- f####.google####.com
- f####.gst####.com
- googl####.g.doublec####.net
- i####.cc
- i####.hp####.cn
- i####.jiankan####.com
- imgnan####.litiant####.com
- log.u####.com
- no####.p####.cn
- pag####.googles####.com
- plb####.u####.com
- pv.s####.com
- rp.hp####.cn
- sdk####.hp####.cn
- st####.ho####.com
- tpc.googles####.com
- u####.u####.com
- umen####.m.ta####.com
- umengj####.m.ta####.com
- www.elmatec####.com
- www.go####.com
- www.google-####.com
- www.googlea####.com
- www.googlet####.com
- www.gst####.com
Запросы HTTP GET:
- gd.a.s####.com/cityjson?ie=####
- i####.cc:8089/app/video/danmu/download?videoId=####
- i####.hp####.cn/Author/GetImServer?uid=####&token=####&appid=####
- i####.jiankan####.com//video/M00/00/A3/mtcfk12Ijy-AO9yeAAHsQrIgxeE877.png
- i####.jiankan####.com//video/M00/03/F2/mtcfk12kURWAMBHfAAMYPolKJmw682.png
- i####.jiankan####.com//video/M00/08/88/msL_ZF3LwsiAQduPAAMXtewhgvg641.png
- i####.jiankan####.com//video/M00/09/28/msL_ZF3d222AejstAAL4CrTZFks090.png
- i####.jiankan####.com//video/M00/0B/88/mtcfk14HJ-iAepDfAAIhQvdhHHQ982.png
- i####.jiankan####.com//video/M00/0B/B5/msL_ZF4JZmGAXsNxAAJh8_4zjKg838.png
- i####.jiankan####.com//video/M00/0C/1A/mtcfk14O6EeABEZsAAIE96OhYHc413.png
- i####.jiankan####.com//video/M00/0C/1A/mtcfk14O6PeAK9P_AAMLHgh5e_Y014.png
- i####.jiankan####.com//video/M00/0C/2B/msL_ZF4P-QaAEP_cAALAfIwVQIE595.png
- i####.jiankan####.com//video/M00/0C/73/mtcfk14T9YKAOhTfAAJ_adI3njU277.png
- i####.jiankan####.com//video/M00/0C/94/mtcfk14VvF6ADTuuAAMkkOzfLU0453.png
- i####.jiankan####.com//video/M00/0C/BE/msL_ZF4X_KiAZ01kAALAk_dlaGU773.png
- imgnan####.litiant####.com/upload/vod/2019-01/p2495646021.jpg
- imgnan####.litiant####.com/upload/vod/2019-07/201907181563426251.jpg
- imgnan####.litiant####.com/upload/vod/2019-08/201908211566349696.jpg
- imgnan####.litiant####.com/upload/vod/2019-10/201910181571328537.jpg
- imgnan####.litiant####.com/upload/vod/2019-10/p2184427519.jpg
- imgnan####.litiant####.com/upload/vod/2019-10/p2310750520.jpg
- imgnan####.litiant####.com/upload/vod/2019-11/201911161573874275.jpg
- no####.p####.cn/
- rp.hp####.cn/logins?v=####&s=1=74c####&0####&k####&d08ni54####&1=u00u1##...
- rp.hp####.cn/logins?v=####&s=1=74c####&=068232####&0####&059####&11B9s77...
- rp.hp####.cn/relation?v=####&s=-####&i####&m####&i####&089=####&06t4516#...
- rp.hp####.cn/service?v=####&s=1=74c####&s15AFa8####&0####&059####&11B9s7...
- rp.hp####.cn/service?v=####&s=1=74c####&sCE50a8####&0####&059####&11B9s7...
Запросы HTTP POST:
- amdc####.m.ta####.com/amdc/mobileDispatch?appkey=####&deviceId=####&plat...
- i####.cc:8089/app/ad/common
- i####.cc:8089/app/ad/copyborad
- i####.cc:8089/app/startup
- i####.cc:8089/app/video/plat/banner
- i####.cc:8089/app/video/plat/getModules
- i####.cc:8089/app/video/plat/tabs
- i####.cc:8089/app/videos/commentList
- i####.cc:8089/app/videos/recommendVideo
- i####.cc:8089/app/videos/v2/getVersion
- i####.cc:8089/app/videos/v2/videoDetail
- sdk####.hp####.cn/Author/PhoneAuthor/?appid=####&uid=####&version=####&p...
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/00bc5a4adcee2c18ed2517758c134b10c0a6a3786473e51....0.tmp
- /data/data/####/00eb5e23af15ef83c3dc498b4f6d3d8621b3ffdff23f31d....0.tmp
- /data/data/####/1426d14048bfae1108a30b1222349b8f543491c1f5f214e....0.tmp
- /data/data/####/1542658731108.jar
- /data/data/####/1542658731108.tmp
- /data/data/####/255b0ff53b8dc62bc8c6059bb07f5ad4ce5b770a9e55916....0.tmp
- /data/data/####/287d213016c342a69c2fe18adf08c4827211febf40f179d....0.tmp
- /data/data/####/29cf27f476d8790ad6015a530e39bca17b8298eb5d443cf....0.tmp
- /data/data/####/3321b297a380132398e33e8540a544d4cd37274a0ab6e90....0.tmp
- /data/data/####/3b77058fa82d4e4da0eae8ec3c6f08c2
- /data/data/####/41db16ff65daf8167d408a2c61431b99ed1b89e0c22c180....0.tmp
- /data/data/####/4298e79d96366687ebb2a5646835374703e86c71a057637....0.tmp
- /data/data/####/437d4ea7c83a28ae02e5d0ec5acb4953ecd9017e6ba1697....0.tmp
- /data/data/####/43ceb7490ca194f3ee0d425094d3a2d4a2896f8a5c7e6e4....0.tmp
- /data/data/####/4dd7f6d7bf71bd19aa8d32a1c83c5d08aeee7d5fafedcf0....0.tmp
- /data/data/####/51f4815e461b2e409a313d4b2e789ed87e9dfc3355c1290....0.tmp
- /data/data/####/57f5e26e564325c98007f279db10babe48fd0458436a9bc....0.tmp
- /data/data/####/5b3fa8223250fbbeeb542cd3d51baec8f66322051f57daa....0.tmp
- /data/data/####/65280e250a6dbd6f847365fab78f472cc286ed3356ed380....0.tmp
- /data/data/####/6536e568d3127ef8e6b9e6f54682df15764226d7adeaa67....0.tmp
- /data/data/####/7083c00a1020b140c0cac71c4f4deb699654057812f52e1....0.tmp
- /data/data/####/74bdba1fa6b5fc77986d83cf0d091441b2a95a64fea62d8....0.tmp
- /data/data/####/7d2f73fd116647e8b9771e59654b2d95
- /data/data/####/7dc1affeb006a14049810998f8b0c451a093127c2f465c6....0.tmp
- /data/data/####/8045819b3f37d202e184aa32ed6b92424a30824d4986abc....0.tmp
- /data/data/####/9464acc3cb65ea44bcd87e52c87b9d68904706d7ceaa3e8....0.tmp
- /data/data/####/94ff2ccf7c82814869ca096bb76e15738b203e5710148bd....0.tmp
- /data/data/####/96a0514856965933c270ffa8669487c73af80e99bd991d0....0.tmp
- /data/data/####/976edf3bdf910649df13dafe8afa98a7b31a554df973458....0.tmp
- /data/data/####/98555930c254b7cf10c0d44ce2c80226de5a771555018ab....0.tmp
- /data/data/####/9a54551681e3550f3fce8011c5682fa482b80474f282a50....0.tmp
- /data/data/####/9a88db51a02f177a920efe48c87e8ef1cf53ca599c5a037....0.tmp
- /data/data/####/9b052fcefe3edef394ff7b012e85dde9280306f16311164....0.tmp
- /data/data/####/9e1947bc336a546ed5baffdae2682d2a2d5e3cbda0ef1ff....0.tmp
- /data/data/####/9e3ece0de7e78953145ec706ae31d2f7adf7cd92bd0206b....0.tmp
- /data/data/####/9e3ece0de7e78953145ec706ae31d2f7adf7cd92bd0206b...1759.0
- /data/data/####/ACCS_BINDumeng;5b9754d8f29d982a43000298.xml
- /data/data/####/ACCS_SDK.xml
- /data/data/####/ACCS_SDK_CHANNEL.xml
- /data/data/####/AGOO_BIND.xml
- /data/data/####/Agoo_AppStore.xml
- /data/data/####/Alvin2.xml
- /data/data/####/ApplicationCache.db-journal
- /data/data/####/ContextData.xml
- /data/data/####/DaemonServer
- /data/data/####/M3U8PreferenceHelper.xml
- /data/data/####/MessageStore.db-journal
- /data/data/####/MsgLogStore.db-journal
- /data/data/####/MultiDex.lock
- /data/data/####/UM_PROBE_DATA.xml
- /data/data/####/UTCommon.xml
- /data/data/####/a3cfff229814889afecf9ad72acdb3623c54267066633f3....0.tmp
- /data/data/####/a8fb408ad6538daba3dbc8b64d597ccdbb8a2c252b576c9....0.tmp
- /data/data/####/accs.db-journal
- /data/data/####/adashbc.ut.taobao.com.443
- /data/data/####/admob.xml
- /data/data/####/agoo.pid
- /data/data/####/ap.Lock
- /data/data/####/b0a7e6b08ba2f5c702d995883eeacf31649ed5a074d19e1....0.tmp
- /data/data/####/c4204e7538aaedd7835f6a9362eef3a4124c5f145378650....0.tmp
- /data/data/####/channel_umeng_common_config.xml
- /data/data/####/com.dongxu.tips.xml
- /data/data/####/com.dongxu.tips.xml.bak
- /data/data/####/com.f0208.lebo_preferences.xml
- /data/data/####/com.google.InstanceId.properties
- /data/data/####/com.google.android.gms.appid-no-backup
- /data/data/####/com.google.android.gms.appid.xml
- /data/data/####/com.google.android.gms.measurement.prefs.xml
- /data/data/####/com.google.android.gms.measurement.prefs.xml.bak
- /data/data/####/d0683846801101aca9cb3afdc51ea546f718440ecc722b1....0.tmp
- /data/data/####/dW1weF9pbnRlcm5hbF8xNTc4OTkyODk5MzY5;
- /data/data/####/dW1weF9wdXNoX2xhdW5jaF8xNTc4OTkyOTE1Mzc5;
- /data/data/####/dW1weF9wdXNoX3JlZ2lzdGVyXzE1Nzg5OTI5MDQ2NTg=;
- /data/data/####/dW1weF9zaGFyZV8xNTc4OTkyOTAwNjIz;
- /data/data/####/dW1weF9zaGFyZV8xNTc4OTkyOTAwNzgy;
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/dc58c1074012c97aec1f9add885d49a9ccffea466d0d49e....0.tmp
- /data/data/####/ec411f8fb8c6cfdf6408bb9ccb226026012eb4f4ba5b66f....0.tmp
- /data/data/####/eudemon
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/f855aef0ff523a876b72d082f272b37caa5c0b4b606b26a....0.tmp
- /data/data/####/f93d6fcfde34b63a93cabaf2c1d218fe90016f76a6d70f9....0.tmp
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/f_000004
- /data/data/####/f_000005
- /data/data/####/fdac2a3bf0e365bb721340fe13d77ac8e41185bd3f716d9....0.tmp
- /data/data/####/google_app_measurement.db-journal
- /data/data/####/google_app_measurement_local.db
- /data/data/####/google_app_measurement_local.db-journal
- /data/data/####/httpdns_config_cache.xml
- /data/data/####/https_googleads.g.doubleclick.net_0.localstorage-journal
- /data/data/####/i==1.2.0&&1.9.8_1578992899400_envelope.log
- /data/data/####/index
- /data/data/####/info.xml
- /data/data/####/journal.tmp
- /data/data/####/lebo_cache-journal
- /data/data/####/lebo_hisotry-journal
- /data/data/####/libjiagu-654919087.so
- /data/data/####/message_accs_db
- /data/data/####/message_accs_db-journal
- /data/data/####/multidex.version.xml
- /data/data/####/share.db-journal
- /data/data/####/t==8.1.2&&1.9.8_1578992900274_envelope.log
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/um_pri.xml
- /data/data/####/umdat.xml
- /data/data/####/umeng_common_config.xml
- /data/data/####/umeng_common_location.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/umeng_message_state.xml
- /data/data/####/umeng_socialize.xml
- /data/data/####/ut.db
- /data/data/####/ut.db-journal
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/.a.dat
- /data/media/####/.adfwe.dat
- /data/media/####/.cca.dat
- /data/media/####/.nomedia
- /data/media/####/.umm.dat
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/TAG_VIDEO_BANNER0
- /data/media/####/TAG_VIDEO_BANNER1
- /data/media/####/TAG_VIDEO_HOME0
- /data/media/####/TAG_VIDEO_HOME1
- /data/media/####/danmu3117720.xml
- /data/media/####/deviceToken
- /data/media/####/tabs
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
- <Package Folder>/files/DaemonServer -s <Package Folder>/lib/ -n runServer -p startservice -n <Package>/com.taobao.accs.ChannelService --user 0 -f <Package Folder> -t 600 -c agoo.pid -P <Package Folder> -K 1009527 -U tb_accs_eudemon_1.1.3 -L http://agoodm.m.taobao.com/agoo/report -D {"package":"<Package>","appKey":"umeng:5b9754d8f29d982a43000298","utdid":"Xh2FAoHeA48DAGdzx1HPLLQw","sdkVersion":"221"} -I agoodm.m.taobao.com -O 80 -T -Z
- cat /proc/cpuinfo
- cat /sys/class/net/eth0/address
- chmod 500 <Package Folder>/files/DaemonServer
- ls /
- ls /sys/class/thermal
- sh
Загружает динамические библиотеки:
- LBPlayer
- ijkffmpeg
- ijkplayer
- ijksdl
- libjiagu-654919087
- ndkbitmap
- tnet-3.1
- ut_c_api
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
