AVL移動安全團隊近期發(fā)現(xiàn)一種基于XMPP Smack Openfire開發(fā)的Android間諜軟件。該惡意軟件有如下行為特點: 1 根據遠程客戶端發(fā)送的指令上傳用戶的聯(lián)系人信息����、短信、通話記錄�����、GPS位置信息、日期; 2 隱藏自身圖標; 3 攔截指定短信���。
Smack是一個開源的XMPP(jabber)客戶端連接庫���,具有發(fā)送/接受消息、監(jiān)視客戶端當前所處的狀態(tài)等眾多功能的API����。該惡意軟件使用Smack技術時,首先利用XMPP SERVER建立連接��,之后使用預置用戶名和密碼進行登錄���,登錄成功便創(chuàng)建對象和其他用戶進行交流���,主要使用xml格式傳輸。
詳細分析:
程序運行后�����,受控端首先會自動登錄����,登錄成功后會訪問網絡�����。與主控端建立網絡連接后����,受控端會根據指令執(zhí)行竊取隱私等惡意操作�����。簡要流程如下圖所示�����。
程序在啟動后����,會先獲取賬號密碼:
該數據存在xml文件中�����。
之后便開始聯(lián)網登錄操作:
根據返回的數據能進行隱藏圖標操作:
程序會通過主控端的遠程指令進行多項敏感操作���,包括上傳文件��、上傳短信���、聯(lián)系人���、錄音、位置等信息�����。相關代碼如下圖所示:
需要說明的是:程序先將獲取到的數據保存到本地文件夾中����,然后統(tǒng)一上傳。上傳網址如下圖所示:
以下是靜態(tài)分析得出的網址���。
總結
經過安全研究人員分析����,該惡意樣本會泄露用戶的重要隱私信息����,可能會給用戶造成嚴重經濟損失。
小編推薦閱讀
