CoolPad backdoor CoolReaper
注:譯文未獲得平底鍋授權,純屬學習性質翻譯
綜述
宇龍酷派是中國第三大以及全球第六大智慧手機生產廠商。最近我們研究發現許多高階酷派手機在預裝軟體均包含一個後門程式,我們將此後門稱為:CoolReaper
在看到許多酷派使用者反饋手機上的可疑現象後,我們下載了多箇中國區發行的官方韌體,其中大多數都包含了coolreaper這款後門應用。
CoolReaper表現出以下行為:
- 靜默下載、安裝或者啟用任意應用且不通知使用者
- 清除使用者資料、解除安裝已安裝應用或者禁用系統應用
- 偽造OTA資訊提示使用者升級系統其實是安裝一些推送的應用
- 傳送簡訊或者彩信以及偽造手機中的簡訊或者彩信
- 撥打電話
- 上傳使用者裝置資訊、位置資訊、應用使用情況、通話記錄、簡訊記錄到酷派伺服器。
手機生產廠商一般會在裝置中安裝一些定製軟體,但是coolreaper貌似不那麼簡單。一些移動運營商也會預裝一些軟體用於收集使用者使用習慣和資料。Coolreaper比這些做的更多非常類似一個後門。
中國的酷派使用者在網上反饋後門應用靜默安裝軟體已經推送廣告的行為。不過這些反饋資訊均被酷派忽略或者刪除。
酷派同時還在他們的許多韌體中還更改了底層安卓系統。這些變動主要目的是隱藏後門coolreaper元件不被使用者發現以及不被其他應用分析。這使用防毒軟體無法輕易檢測到此後門應用。
9月,一個名烏雲白帽子發現coolreaper後臺系統的漏洞。後臺呈現出coolreaper的各種操作指令。
現階段酷派手機後門只能影響到中國使用者,但是酷派的國際化戰略意味著這款後門應用將有可能影響全球Android使用者
酷派後門
User Reporting for this Threat
酷派是宇龍集團旗下智慧手機品牌,港股編號:02369
根據華爾街日報及易觀國際分析顯示酷派是全球第六大智慧手機生產廠商。而實際上,基於最新的IDC資料分析報告酷派佔全球3.7%的市場份額。從2012年開始,酷派就已經成為了中國第三大智慧手機制造廠商,2014第二季度佔有市場份額11.5%。僅排在小米和聯想之後。2014上半年酷派在中國4G手機市場份額佔15.8%位居第一。
酷派手機旗艦系列取名halo(又叫大神手機),此係列涵蓋了3G與4G兩種通訊制式。
酷派通用也有廉價產品。以下是其官方商城售賣的手機:
- The Halo (Dazen) series: Dazen F1, Dazen F1 Plus, Dazen 1S, Dazen F2, Dazen Note
- The S series: Coolpad S6
- The K series: Coolpad K1
- The Magview series: Magview 9970, Magview 8971
- Others: Coolpad 8730L, Coolpad 8720L, Coolpad 7295, Coolpad 9150W, Coolpad 9080W, Coolpad 5951, Coolpad 7295C, Coolpad 8908

相對零售渠道,酷派更大的出貨渠道是中國三大運營商:中國移動、中國聯通以及中國電信。(定製機)
儘管不像蘋果和三星那麼出名,酷派在中國依然很暢銷並且在國際市場迅速擴張,尤其是在4G手機市場。2014上半年,酷派生產製造29款新手機,其中12款支援4G網路。2013全年酷派生產了三千七百二十萬臺裝置,並在2014年僅三月一個月中就生產了六百萬臺裝置。酷派的目標是在2014年銷售六千萬臺手機,大神系列預計銷售超過一千萬臺。
酷派全球擴張
根據華爾街日報報導,酷派計劃向東南亞、歐洲以及美國市場進軍。
在美國酷派官網銷售以下三種機型:
- Coolpad Quattro 4G (Coolpad 5860E)
- Coolpad Flo
- Coolpad Quattro II
2014年,酷派與MetroPCS公司(已被T-Mobile併購)合作在美國售出了超過一百三十萬的Quattro 4G裝置。2014年,酷派與GoSmart Mobile合作開始在美國銷售酷派Flo手機
2013年初,酷派聯合 Vodafone 與 France Télécom 在超過10個歐洲國家銷售8860U 以及 8870U。
2014年7月初,酷派與東南亞的一運營商合作在印度和印尼運作,並且計劃進軍泰國、緬甸以及馬來西亞市場。截至2014年9月,在這些國家已經銷售超過50萬大神系列手機。
CoolReaper: The Coolpad Backdoor
2013年10月報告中的可疑介面開始出現中國使用者的酷派手機中。使用者反饋廣告推送出現在通知欄,透過OTA升級後系統並未得到升級而是出現一些不是使用者安裝的新應用。為了定位這些反常事件我們開始調查酷派官方rom以及酷派修改過的rom
酷派提供大神系列、s系列、k系列zip格式的官方rom以及其他機型的定製官方rom。這些rom均能在酷派官方論壇或者官方服務中心下載到。酷派提供這些韌體給使用者OTA升級或者重新刷機. 我們猜測(並未確認)手機出廠時也是刷的這些rom。
2014年11月我們從酷派官方論壇下載了大神系列8個機型的45個官方rom。為了增大測試範圍,我們又下載了其他20個機型的32個第三方rom。這些第三方韌體都是基於官方韌體修改的。
我們總共調查了77個酷派手機rom,其中64個包含後門coolreaper。大神系統8個機型有41個rom有後門,其他23個第三方韌體設計16種機型也都有後門。我們確認至少有24種不同的酷派手機種存在coolreaper後門。下表是我們分析後的rom後門存在情況。
CoolReaper Files and Versions
在分析的這些rom後門coolreaper分別以下檔名的形式存在:
- /system/app/CP_DMP.apk
- /system/app/CP_DMP.odex
- /system/app/GoogleGmsFramework.apk
- /system/app/GoogleGmsFramework.odex
- /system/lib/libgmsframework.so
libgmsframework.so並不是個庫檔案,其實是一個apk檔案。在同一個rom裡此檔案的內容與GoogleGmsFramework.apk相同。唯一區別是這個偽造的庫檔案使用除錯證照籤名。
我們發現的12個不同此coolreaper版本如下表
開發者使用了編譯日期作為版本號,使用編譯日期+時間作為版本名稱。利用這兩個特徵我們可以確認CoolReaper開發日期是2013年10月12號或者更早。
2014年5月我們注意到此後門做了一個版本升級,從2.x升級到3.0。同時後門的檔名由CP_DMP.apk變更為GoogleGmsFramework.apk。我們懷疑酷派這麼做是因為網上有使用者反饋CP_DMP.apk是惡意軟體。
Origin
有一種可能Coolreaper後門是由第三方製造的。不過根據分析我們相信後門是由酷派官方製作並且安裝到酷派手機種的。
所有的CoolReaper的簽名是酷派公司的,41個受影響的官方rom中都使用的相同的簽名。
一些官方rom對底層安卓系統做了修改用於使coolreaper消失在使用者和殺軟的視線中。
用於給coolreaper傳送控制指令的伺服器使用的域名 coolyun.com 和 51Coolpad.com 是由酷派官方註冊的。而且給使用者提供雲服務。
11月,Coolreaper後臺控制系統被暴露。酷派確認存在此係統並且許諾修復漏洞。這個控制系統是coolyun.com的子域名。
CoolReaper Analysis
為了分析後門的功能,我們從大神F2種提取一個coolreaper樣本。F2基於android4.4,rom編譯於11月18號
Build ID: 4.4.051.P2.141118.8675
ROM_SHA-1:39240a84070040c27221b477f101bf9b1555d7ce
PATH:/system/app/GoogleGmsFramework.apk
APK_SHA-1:3753244484c4a8b2b2dc8c3b7e119eabd0490398
後門apk使用了ProGuard進行程式碼混淆。混淆後的命名使得逆向工作十分困難。為了方便分析程式碼,我們參考其意圖嘗試重新命名進行還原。讀者將在這份報告中看到許多這樣重新命名後的截圖。我們重新命名方法遵循以下原則:
CoolPreaper的開發者留下了許多debug資訊可以幫助鑑別原類名或者方法名,如果可能我們儘量使用這些命名。
程式碼質量較高,開發者保持使用特定的框架。重新命名的時候依據此框架。
當我們無法識別開發者意圖命名時,我們根據此此物件的功能來命名。
更改方法名使得程式碼可讀性更高而且並不影響程式碼邏輯。
System Application with System User ID
在安裝有後門的韌體中,CoolReaper以系統應用安裝。所有的樣本都有著同樣的包名"com.android.update.dmp"。特徵字元"DMP"出現在檔名、包名、C2的URL中以及其他地址,我們懷疑DMP就是 “Data Management Platform.”的縮寫。
在配置檔案AnroidManifest.xml中,coolreaper定義了android:sharedUserId屬性為“android.uid.system”
這樣做coolreaper將擁有系統UID並以system許可權執行。目的是將其變成系統應用而非第三方應用。
下面是從官方韌體中提取的coolreaper的簽名資訊
Owner: [email protected], CN=YuLong, OU=YuLong, O=YuLong,
L=ShenZhen, ST=GuangDong, C=CN
Issuer: [email protected], CN=YuLong, OU=YuLong, O=YuLong,
L=ShenZhen, ST=GuangDong, C=CN
Serial number: fb1ecd58cb8358f7
Valid from: Fri Oct 22 08:26:53 PDT 2010 until: Fri Sep 21 08:26:53 PDT 2035
Certificate fingerprints:
MD5: DB:DB:3B:ED:34:72:B1:B3:C4:CA:59:BE:CD:33:9F:44
SHA1: 5D:F8:F0:82:12:61:A2:34:D1:11:02:8E:FD:DF:FA:3C:88:89:76:49
Signature algorithm name: SHA1withRSA
Version: 3
User Interface
CoolReaper顯示的應用名字是"Android System",並且使用了其他真正系統應用的圖示。CoolReaper在應用桌面是不可見的。
CoolReaper實現了很少的使用者互動的元件。其中一些是不生效的,比如 com.android.update.dm.MainActivity . 還有一些惡意意圖的功能,像元件 com.android.update.dmp.PretendedOTADialog 用於顯示一些偽造的OTA升級通知。 com.android.update.dmp.weblinkhandler.WebLinkActivity 用於透過遠端控制開啟指定頁面。
大多數的惡意功能均是靜默實現不需要與使用者進行互動,使用者很難發現和阻止。
Code Structure
CoolReaper主要程式碼可以分割成兩個元件:DMP和ICU
在DMP的java class都有字首"com.android.update.dmp"。他們負責接收從C2伺服器傳送的命令、下載相關檔案表現為本地惡意行為。此元件可以透過開機、聯網、點亮螢幕觸發。當這些事件發生時,DMP在後臺啟動一個服務:com.android.update.dmp.SystemOptService
在ICU元件中的java class字首為:com.android.icu,他們負責手機使用者資訊併傳送到C2伺服器。ICU以系統服務形式執行:com.android.icu.service.SystemPipeService
以上分析顯示DMP和ICU是分別開發的,他們有著不一樣的功能、不一樣的路徑、不同的的C2地址並且不相互影響。
Component Functionalities
CoolReaper中的DMp和ICU元件實現了很多功能,當他們組合起來時變成一個非常強大的後門。
DMP元件主要負責遠端控制裝置,此元件的具備以下功能:
- 下載指定APK檔案,OTA升級且不需要使用者確認
- 後臺安裝apk不需要使用者確認
- 啟動任意已安裝的應用且不需要使用者確認
- 啟動任意應用指定的服務不需要使用者確認
- 後臺靜默解除安裝任意應用不需使用者確認
- 桌面任意建立或者刪除快捷方式
- 清除指定應用資料不需要使用者確認
- 禁用或者啟用任意系統應用不需要使用者確認
- 通知使用者正常OTA升級
- 偽造OTA升級通知
- 使用之前下載好的升級包強制OTA升級
- 撥打任意電話不需要使用者確認
- 傳送指定簡訊內容到指定號碼不需使用者確認
- 插入任意指定簡訊活彩信到收信箱並且在通知欄顯示偽造通知
- 透過預設瀏覽器開啟指定連結
- 設定或者獲取系統變數
- 彈出通知欄或者對話方塊,如果使用者點選將會下載指定apk
- 彈出通知欄,使用者點選後撥打指定號碼
- 彈出通知欄,使用者點選後顯示指定頁面
- 彈出通知欄,使用者點選後登入或者安全指定應用
- 上傳使用者磁碟資訊到c2伺服器
- 上傳使用者手機是否root的資訊到C2伺服器
另一方面,ICU元件主要負責手機使用者資訊傳送到C2伺服器,ICU收集如下資訊:
- 裝置硬體資訊
- 裝置地理位置資訊包括城市、省份資訊
- 安裝的應用以及使用頻率資訊
- 通話數以及簡訊收發數量
- 網路資訊,包括聯網型別以及聯網時間
上述功能明顯表明CoolReaper可以扮演後門的角色。後臺操作者可以輕易的在使用者裝置上解除安裝或者禁用安全軟體、安裝惡意軟體、竊取使用者資訊以及注入虛假資訊。
除了這些功能外,程式碼裡許多除錯字串就包含"backboor"關鍵字。比如下面的類"BackDoorManager"含有有一個方法"processBackDoor"
當啟動偽造OTA升級功能時,反饋報告裡的資訊是"the preset app back door is opened!",以及在預設配置檔案中一個item取名為"isBackDoorMsgSended"
這些除錯資訊、反饋資訊自身顯然不是惡意軟體,但是透過這些字串可以看出CoolReaper的製作者的意圖是想在裝置中安置後門。
CoolReaper包含太多功能不能再這裡一一描述。附錄中將貼出其後門功能的程式碼截圖
Command and Control Servers and the Coolyun Service
CoolReaper的DMP和ICU元件使用不同URL群作為他們的指令伺服器。
DMP元件的後臺的域名和ip資訊如下:
- dmp.51Coolpad.com
- dmp.coolyun.com
- 13.142.37.149
在我們分析時這些域名解析到13.142.37.149,CoolReaper有能力在任何時候更新C2的地址
DMP元件使用HTTP POST請求與C2伺服器通訊,當獲取到命令或者上傳資訊的時候,它會使用特別的User-agent:"UAC/1.0.0 (Android <Build.VERSION.RELEASE>; Linux)"。這裡的<Build. VERSION.RELEASE>是安裝在手機中android操作的系統的版本。
在CMP元件裡,Coolreaper使用了13個不用的URL用來註冊裝置、獲取指令、返回執行結果、上傳執行資訊、下載apk檔案以及執行其他任務。這些URL如下:
- http://dmp.51Coolpad.com/dmp/api/getfirstpushmsg
- http://dmp.coolyun.com/dmp/api/userregister
- http://dmp.coolyun.com/dmp/api/getstrategy
- http://dmp.coolyun.com/dmp/api/getpushmsg
- http://dmp.coolyun.com/dmp/api/reportpushmsg
- http://dmp.coolyun.com/dmp/api/updatepushmsg
- http://dmp.coolyun.com/dmp/api/exceptupload
- http://dmp.coolyun.com/dmp/api/setuserstate
- http://dmp.coolyun.com/dmp/api/getapkupdate
- http://dmp.coolyun.com/dmp/api/strategyandupdate
- http://dmp.coolyun.com/dmp/api/ctruleservlet
- http://dmp.coolyun.com/dmp/api/ctrulereportservlet
- http://dmp.coolyun.com/dmp/api/strategyandupdate
ICU元件使用如下URL下載配置資料以及上傳使用者資訊:
- http://icudata.coolyun.com/
- http://icudata.51Coolpad.com/
- http://113.142.37.246/filereceiver
- http://icucfg.coolyun.com/
- http://icucfg.51Coolpad.com/
- http://113.142.37.246/icucfg
- http://file.Coolpadfuns.cn/actioncollect
coolyun.com除了傳送指令控制裝置外還解析為酷派官方雲服務:酷雲。
透過酷雲,酷派提供服務以及應用給安卓使用者。我們對比了CoolReaper以及酷雲客戶端來確認它是否是酷雲的合法管理應用
酷雲客戶端的包名為:com.android.coolwind 。它在cooyun.com以及各大應用市場均能下載。我們註冊了一個酷雲帳號發現其只給使用者提供了少量服務,包括備份聯絡人以及雲端儲存。這些功能和coolReaper比起來簡直小巫見大巫。
事實上,處理使用同樣的C2域名外,CoolReaper和酷雲唯一的關係就是ICU元件在裝置上收集酷雲帳號並且傳送到C2伺服器。
CoolReaper Back-End
一般來說像像CoolReaper這種後門的後臺控制系統是很難被找到或者公開的,但是最近酷派開發給我們了一個機會去見識下酷派到底是怎麼使用這個後門的。
2014年9月19號,烏雲白帽子"愛上平地山"在烏雲網上報酷派漏洞酷派官方靜默安裝apk功能後臺存在高危漏洞(演示定製機是如何在你的手機默默安裝)。同天酷派確認此漏洞並且評論"感謝提供,我們儘快解決,謝謝。"
烏雲負責任的漏洞披露流程,意味著漏洞細節不能馬上公開。儘管如此,作為一個烏雲白帽子我們能在酷派確定漏洞一個天數後看到漏洞細節。
漏洞細節是一個程式碼執行導致被getshell,然後白帽子進入了酷雲許可權管理平臺:auth.coolyun.com。平臺上顯示有如下功能:
- PUSH偽裝OTA推app
- 靜默安裝apk
- PUSH啟用應用
- PUSH後臺命令
透過安全牛的報導,得到一張沒有馬賽克的後臺系統截圖。顯示該系統具有如下功能:
- 靜默安裝apk
- 靜默解除安裝apk
- 後臺啟用第三方應用
- 後臺啟用第三方服務
- PUSH後臺指令下發
- PUSH推送APK
- PUSH啟用應用
- PUSH開啟網頁連結
- PUSH推送HTML
- PUSH推送撥打電話
- PUSH簡訊偽裝插入
- PUSH彩信偽裝插入
- PUSH偽裝OTA推APP
- PUSH推OTA升級包
- PUSH發OTA升級廣播
上面的描述的功能和分析的CoolReaper實現的程式碼均能對應上
2014年11月21日,安全牛發表了第二篇文章酷派公關陳述:僅用於內部測試。要求安全牛撤稿,安全牛要求其傳送正式信函並且出示相關證明,之後酷派並未回應。
Hiding CoolReaper from Users
酷派手機的韌體除了包含CoolReaper後門外還做其他改動意圖來隱藏此後門
Hidden from list of Installed Packages
第一處變動位於/system/framework/services.odex 此檔案為安裝系統實現了基礎服務以及其他元件。酷派修改了PMS中的getInstalledPackages方法用於收集安裝於android的包。改動還特意照顧了"com. android.update.dmp"酷派後門,用於阻止其返回給請求程式。
此處改動不僅從使用者角度隱藏了此後門包同時也能規避殺軟和MDM。也就是說殺軟是無法掃描到它以及判斷它是否為惡意軟體。
Disable Notifications Menu
第二處改動是在 /system/app/SystemUI.odex 。酷派更改了com.android.systemui.statusbar.BaseStatusBar類的getNotificationLongClicker方法。
通常來講,當android應用在系統通知欄顯示通知時,使用者可以透過長按通知欄來鑑別此通知的來源而且可以禁用此通知。
但是透過更改程式碼,任何CoolReaper的通知資訊都將阻止使用者去鑑別來源。
Evading Pre-Installed Antivirus Program
第三處改動是用於預安裝酷派自家的安全應用"酷管家",此款應用提供基本防毒以及其他安全服務。每當應用安裝或者更新的時候,酷管家都將進行安全掃描。與之前的改動類似,如果掃到包名為"com.android.update.dmp"將會繞過其掃描。
CoolReaper Reach and Impact
Customer Reports
9月30號在谷歌搜尋後門CoolReaper的應用名“CP_DMP.apk”,我們發現有236條搜尋結果。其中大多數是酷派使用者在論壇討論此檔案
從2013年9月開始,使用者開始討論他們的酷派手機發生的一些如下莫名行為:
- 裝置自動升級
- 裝置頻繁在通知欄收到廣告通知
- 裝置靜默安裝許多遊戲
- 裝置提示OTA升級,重啟後發現系統並未升級只是多出了11個新應用
使用者抱怨之後不久,coolreaper進行了一次升級,版本由2.x升級到3.0.應用名由CM_DMP.apk變為GoogleGmsFramework.apk。我們認為此次升級的意圖是為了隱藏後門來躲避使用者已經定位的檔案。這招貌似成功逃過了使用者透過應用名"CP_DMP.apk"來定位後門的方法。下圖的帖子中一個使用者詢問:為何刪除了CP_DMP.apk,幾天後廣告又出現了,我們該怎麼搞它?
Geographic Range of Impact
我們不知道多少酷派裝置包含coolreaper後門,考慮到coolreaper被加入到最近12月生產的24種機型裡,以及IDC公佈的酷派銷售目標,故影響的裝置非常可能超過一千萬。
大多受影響的裝置都是在中國,貌似這個後門是為中國人定製的。後門的一處程式碼顯示透過判斷裝置SIM卡的IMSI來確定其運營商歸屬
2014年11月25日,我們在加利福利亞購買一部酷派FLo手機並未發現其包含有CoolReaper後門,這個手機制造時間超過一年,應該是它製造日期太早沒來得及放入後門。我們並未分析前面提到的另兩款在美國銷售的機型以及其在歐洲和東南亞銷售的機型。只有中國發行的ROM可以被下載。
Coolreaper存在非中國地區可能基於以下幾個原因:
- 在C2C網站像eBay這也,一些酷派手機從中國使用者手中流出
- CoolReaper已經被安裝在國外銷售的機型中只是並未出現在我們所分析的裝置
- 透過官方OTA升級CoolReaper被遠端安裝,CP_OTA.apk具有此功能。這個包被安裝在美國銷售的酷派FLo上。有使用者抱怨,刪除CP_DMP.apk後,其有被自動重新安裝。這個重新安裝的過程可能是透過ota機制實現實的。
2014年10月,兩位使用者反饋酷派5950t被植入後門
除了上面兩位使用者的反饋,11月11號我們檢測到CoolReaper控制指令http請求報文。
Detection and Protection
CoolReaper很難被殺軟檢測到以及刪除。酷派透過更改android底層系統來繞過安全軟體的檢測coolreaper。coolreaper使用的是酷派官方證照籤名,這也又可以繞過一些基於白名單機制的檢測的安全軟體。另外,如果殺軟能檢測到此後門,也沒有在非ROOT的情況下刪除後門的許可權,因為coolreaper是以系統應用安裝的。
2014年4月以及7月。三個coolreaper的樣本被上傳到VirusTotal。8月23、24,安全機構將這三個樣本定性為惡意、可疑檔案。儘管樣本被標識為"Generic"或者"agent"族,這些表明安全機構沒有精確定位到此惡意應用。一些機構將其定位為"Trojan.Android.Andup.a"是不準確的。
酷派個人使用者,我們建議透過root explorer軟體檢視你的手機是否有以下檔案:
- /system/app/CP_DMP.apk
- /system/app/CP_DMP.odex
- /system/app/GoogleGmsFramework.apk
- /system/app/GoogleGmsFramework.apk
- /system/lib/libgmsframework.so
如果存在以上任意一個檔案,你的手機就很有可能存在CoolReaper後門。如果你的手機已經root,你可以使用root許可權輕易的刪除這些檔案。不過,酷派還是有可能透過OTA升級給你安裝新的後門。
Conclusions and Risks
基於以上分析我們對Coolreaper做了如下總結:
- Coolreaper使用酷派官方數字證照籤名,安裝在酷派官方韌體中使用酷派的伺服器控制傳送指令
- 酷派承認存在手機管理介面,而這個介面的功能更Coolreaper實現的功能對應。這個介面的服務存在漏洞以及被人利用入侵
- 酷派官方韌體做了改動來避免使用者以及殺軟發現coolreaper
- 在許多使用者反饋和抱怨被強制推送了廣告和應用後酷派並未解決這些問題
也許酷派製作這款程式的目的是為了幫助使用者提升使用者體驗。手機廠商在裝置上安裝定製軟體,但是coolreaper功能已經完全超出了使用者的預期。這個後門能讓酷派完全控制任意酷派手機。中國使用者已經反饋此係統正用於推送廣告和應用。
事實上coolreaper的管理介面很可能被攻擊者利用漏洞拿下,這樣對使用者的威脅將會更大。儘管現在被修復一個,但是誰能保證以後不再有了。
已知的coolreaper後門僅影響中國使用者,但是隨著酷派的全國擴張這個後門很可能影響到全球Android使用者。
Appendix A:
Significant Malicious Behaviors
Coolreaper實現的大多數功能都能歸類為惡意意圖,下列程式碼展示此後門的各種行為。
後臺安裝下載apk
後臺解除安裝apk
開啟指定應用
清除指定應用資料
啟用禁用指定系統應用
偽造ota更新用於開啟後門
撥打指定號碼
傳送任意簡訊
偽造任意簡訊到收信箱
彈出收到偽造簡訊的通知
偽造任意彩信到收信箱
獲取或者設定系統變數
