Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Gexin.1
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/.log.lock
- /data/data/####/.log.ls
- /data/data/####/ACCS_SDK.xml
- /data/data/####/ACCS_SDK_CHANNEL.xml
- /data/data/####/ACCS_SDK_CHANNEL.xml.bak (deleted)
- /data/data/####/Agoo_AppStore.xml
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/DaemonServer
- /data/data/####/__Baidu_Stat_SDK_SendRem.xml
- /data/data/####/__local_ap_info_cache.json
- /data/data/####/__local_stat_cache.json
- /data/data/####/__send_data_1604521252937
- /data/data/####/_nohttp_cache_db.db
- /data/data/####/_nohttp_cache_db.db-journal
- /data/data/####/_nohttp_cookies_db.db
- /data/data/####/_nohttp_cookies_db.db-journal
- /data/data/####/accs.db
- /data/data/####/accs.db-journal
- /data/data/####/agoo.pid
- /data/data/####/bugly_db_
- /data/data/####/bugly_db_-journal
- /data/data/####/com.lmcity.lmbuy_preferences.xml
- /data/data/####/eudemon
- /data/data/####/init.pid
- /data/data/####/libcuid.so
- /data/data/####/libjiagu.so
- /data/data/####/multidex.version.xml
- /data/data/####/push.pid
- /data/data/####/pushsdk.db-journal
- /data/data/####/run.pid
- /data/data/####/webview.db
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/webviewCookiesChromiumPrivate.db
- /data/data/####/webviewCookiesChromiumPrivate.db-journal
- /data/data/####/webviewCookiesChromiumPrivate.db-journal (deleted)
- /data/media/####/.confd
- /data/media/####/.confd-journal
- /data/media/####/.cuid
- /data/media/####/.cuid2
- /data/media/####/.nomedia
- /data/media/####/.timestamp
- /data/media/####/6bfceb89640b4c3c9b4f88ac1367b2ac
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/ada92baf734e4537ad889e215bba6499
- /data/media/####/b128e4ce3337400bb2b0332e813acc9f
- /data/media/####/b6f849178b8b4023acd684971ba34719
- /data/media/####/inapp_20201104.log
- /data/media/####/service_20201104.log
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop ro.board.platform
- <Package Folder>/files/DaemonServer -s <Package Folder>/lib/ -n runServer -p startservice -n <Package>/com.alibaba.sdk.android.push.ChannelService --user 0 -f <Package Folder> -t 600 -c agoo.pid -P <Package Folder> -K 1009527 -U tb_accs_eudemon_1.1.3 -L http://agoodm.m.taobao.com/agoo/report -D {"package":"<Package>","appKey":"23637556","utdid":"X6MNIRKQP+8DAGdzx1F4K0B9","sdkVersion":"212"} -I agoodm.m.taobao.com -O 80 -T -Z
- chmod 500 <Package Folder>/files/DaemonServer
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- getprop ro.board.platform
- sh
Загружает динамические библиотеки:
- Bugly
- crash_analysis
- fb_jpegturbo
- gifimage
- imagepipeline
- libjiagu
- tnet-3.1
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-ECB-PKCS5Padding
- DES-CBC-PKCS5Padding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- DES-CBC-PKCS5Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
