AVL移動(dòng)安全團(tuán)隊(duì)近期發(fā)現(xiàn)一種基于XMPP Smack Openfire開(kāi)發(fā)的Android間諜軟件�����。該惡意軟件有如下行為特點(diǎn): 1 根據(jù)遠(yuǎn)程客戶端發(fā)送的指令上傳用戶的聯(lián)系人信息、短信��、通話記錄��、GPS位置信息、日期; 2 隱藏自身圖標(biāo); 3 攔截指定短信���。
Smack是一個(gè)開(kāi)源的XMPP(jabber)客戶端連接庫(kù)��,具有發(fā)送/接受消息��、監(jiān)視客戶端當(dāng)前所處的狀態(tài)等眾多功能的API�。該惡意軟件使用Smack技術(shù)時(shí)��,首先利用XMPP SERVER建立連接����,之后使用預(yù)置用戶名和密碼進(jìn)行登錄,登錄成功便創(chuàng)建對(duì)象和其他用戶進(jìn)行交流����,主要使用xml格式傳輸���。
詳細(xì)分析:
程序運(yùn)行后�,受控端首先會(huì)自動(dòng)登錄��,登錄成功后會(huì)訪問(wèn)網(wǎng)絡(luò)�����。與主控端建立網(wǎng)絡(luò)連接后,受控端會(huì)根據(jù)指令執(zhí)行竊取隱私等惡意操作����。簡(jiǎn)要流程如下圖所示。
程序在啟動(dòng)后���,會(huì)先獲取賬號(hào)密碼:
該數(shù)據(jù)存在xml文件中����。
之后便開(kāi)始聯(lián)網(wǎng)登錄操作:
根據(jù)返回的數(shù)據(jù)能進(jìn)行隱藏圖標(biāo)操作:
程序會(huì)通過(guò)主控端的遠(yuǎn)程指令進(jìn)行多項(xiàng)敏感操作�����,包括上傳文件����、上傳短信、聯(lián)系人�、錄音、位置等信息�。相關(guān)代碼如下圖所示:
需要說(shuō)明的是:程序先將獲取到的數(shù)據(jù)保存到本地文件夾中,然后統(tǒng)一上傳���。上傳網(wǎng)址如下圖所示:
以下是靜態(tài)分析得出的網(wǎng)址�。
總結(jié)
經(jīng)過(guò)安全研究人員分析,該惡意樣本會(huì)泄露用戶的重要隱私信息��,可能會(huì)給用戶造成嚴(yán)重經(jīng)濟(jì)損失�����。
小編推薦閱讀
