-
-
[原创]Smack技术远控木马
-
发表于: 2015-3-13 21:34
-
AVL移动安全团队近期发现一种基于XMPP Smack Openfire开发的Android间谍软件。该恶意软件有如下行为特点: 1 根据远程客户端发送的指令上传用户的联系人信息、短信、通话记录、GPS位置信息、日期; 2 隐藏自身图标; 3 拦截指定短信。
Smack是一个开源的XMPP(jabber)客户端连接库,具有发送/接受消息、监视客户端当前所处的状态等众多功能的API。该恶意软件使用Smack技术时,首先利用XMPP SERVER建立连接,之后使用预置用户名和密码进行登录,登录成功便创建对象和其他用户进行交流,主要使用xml格式传输。
详细分析:
程序运行后,受控端首先会自动登录,登录成功后会访问网络。与主控端建立网络连接后,受控端会根据指令执行窃取隐私等恶意操作。简要流程如下图所示。
程序在启动后,会先获取账号密码:
该数据存在xml文件中。
之后便开始联网登录操作:
根据返回的数据能进行隐藏图标操作:
程序会通过主控端的远程指令进行多项敏感操作,包括上传文件、上传短信、联系人、录音、位置等信息。相关代码如下图所示:
需要说明的是:程序先将获取到的数据保存到本地文件夹中,然后统一上传。上传网址如下图所示:
以下是静态分析得出的网址。
总结
经过安全研究人员分析,该恶意样本会泄露用户的重要隐私信息,可能会给用户造成严重经济损失。AVL移动安全团队建议大家尽快下载安装AVL Pro对该类木马进行检测和查杀,帮助大家摆脱病毒营造良好手机环境!
AVL移动安全团队专注于移动互联网安全技术研究及反病毒引擎研发,提供强大的移动安全解决方案。欢迎关注我们的微信公众号AVLTeam,我们会定期发布一些移动安全相关资讯,希望能够对您有所帮助。 转载请注明来源:268K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0D9L8$3N6Q4x3X3g2S2N6X3I4&6N6h3&6Q4x3X3g2U0L8$3#2Q4x3V1k6Q4x3@1k6H3i4K6y4p5x3U0p5&6x3H3`.`.
文章分享地址:
Smack是一个开源的XMPP(jabber)客户端连接库,具有发送/接受消息、监视客户端当前所处的状态等众多功能的API。该恶意软件使用Smack技术时,首先利用XMPP SERVER建立连接,之后使用预置用户名和密码进行登录,登录成功便创建对象和其他用户进行交流,主要使用xml格式传输。
详细分析:
程序运行后,受控端首先会自动登录,登录成功后会访问网络。与主控端建立网络连接后,受控端会根据指令执行窃取隐私等恶意操作。简要流程如下图所示。
程序在启动后,会先获取账号密码:
该数据存在xml文件中。
之后便开始联网登录操作:
根据返回的数据能进行隐藏图标操作:
程序会通过主控端的远程指令进行多项敏感操作,包括上传文件、上传短信、联系人、录音、位置等信息。相关代码如下图所示:
需要说明的是:程序先将获取到的数据保存到本地文件夹中,然后统一上传。上传网址如下图所示:
以下是静态分析得出的网址。
总结
经过安全研究人员分析,该恶意样本会泄露用户的重要隐私信息,可能会给用户造成严重经济损失。AVL移动安全团队建议大家尽快下载安装AVL Pro对该类木马进行检测和查杀,帮助大家摆脱病毒营造良好手机环境!
AVL移动安全团队专注于移动互联网安全技术研究及反病毒引擎研发,提供强大的移动安全解决方案。欢迎关注我们的微信公众号AVLTeam,我们会定期发布一些移动安全相关资讯,希望能够对您有所帮助。 转载请注明来源:268K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0D9L8$3N6Q4x3X3g2S2N6X3I4&6N6h3&6Q4x3X3g2U0L8$3#2Q4x3V1k6Q4x3@1k6H3i4K6y4p5x3U0p5&6x3H3`.`.
文章分享地址:
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
同求样本
|
|
|
|
