AVL移動安全團隊近期發(fā)現(xiàn)一種基于XMPP Smack Openfire開發(fā)的Android間諜軟件���。該惡意軟件有如下行為特點: 1 根據(jù)遠程客戶端發(fā)送的指令上傳用戶的聯(lián)系人信息�、短信���、通話記錄�����、GPS位置信息��、日期; 2 隱藏自身圖標; 3 攔截指定短信���。
Smack是一個開源的XMPP(jabber)客戶端連接庫,具有發(fā)送/接受消息����、監(jiān)視客戶端當前所處的狀態(tài)等眾多功能的API。該惡意軟件使用Smack技術時���,首先利用XMPP SERVER建立連接��,之后使用預置用戶名和密碼進行登錄�,登錄成功便創(chuàng)建對象和其他用戶進行交流��,主要使用xml格式傳輸。
詳細分析:
程序運行后���,受控端首先會自動登錄���,登錄成功后會訪問網(wǎng)絡。與主控端建立網(wǎng)絡連接后�����,受控端會根據(jù)指令執(zhí)行竊取隱私等惡意操作����。簡要流程如下圖所示。
程序在啟動后�,會先獲取賬號密碼:
該數(shù)據(jù)存在xml文件中。
之后便開始聯(lián)網(wǎng)登錄操作:
根據(jù)返回的數(shù)據(jù)能進行隱藏圖標操作:
程序會通過主控端的遠程指令進行多項敏感操作��,包括上傳文件��、上傳短信�����、聯(lián)系人、錄音����、位置等信息���。相關代碼如下圖所示:
需要說明的是:程序先將獲取到的數(shù)據(jù)保存到本地文件夾中����,然后統(tǒng)一上傳��。上傳網(wǎng)址如下圖所示:
以下是靜態(tài)分析得出的網(wǎng)址�。
總結
經(jīng)過安全研究人員分析,該惡意樣本會泄露用戶的重要隱私信息����,可能會給用戶造成嚴重經(jīng)濟損失。
小編推薦閱讀
