剖析Smack技術(shù)遠(yuǎn)控木馬
責(zé)編:admin |2015-04-09 10:41:31AVL移動(dòng)安全團(tuán)隊(duì)近期發(fā)現(xiàn)一種基于XMPP Smack Openfire開發(fā)的Android間諜軟件。該惡意軟件有如下行為特點(diǎn): 1 根據(jù)遠(yuǎn)程客戶端發(fā)送的指令上傳用戶的聯(lián)系人信息、短信、通話記錄、GPS位置信息、日期; 2 隱藏自身圖標(biāo); 3 攔截指定短信。
Smack是一個(gè)開源的XMPP(jabber)客戶端連接庫,具有發(fā)送/接受消息、監(jiān)視客戶端當(dāng)前所處的狀態(tài)等眾多功能的API。該惡意軟件使用Smack技術(shù)時(shí),首先利用XMPP SERVER建立連接,之后使用預(yù)置用戶名和密碼進(jìn)行登錄,登錄成功便創(chuàng)建對(duì)象和其他用戶進(jìn)行交流,主要使用xml格式傳輸。
詳細(xì)分析:
程序運(yùn)行后,受控端首先會(huì)自動(dòng)登錄,登錄成功后會(huì)訪問網(wǎng)絡(luò)。與主控端建立網(wǎng)絡(luò)連接后,受控端會(huì)根據(jù)指令執(zhí)行竊取隱私等惡意操作。簡(jiǎn)要流程如下圖所示。
程序在啟動(dòng)后,會(huì)先獲取賬號(hào)密碼:
該數(shù)據(jù)存在xml文件中。
之后便開始聯(lián)網(wǎng)登錄操作:
根據(jù)返回的數(shù)據(jù)能進(jìn)行隱藏圖標(biāo)操作:
程序會(huì)通過主控端的遠(yuǎn)程指令進(jìn)行多項(xiàng)敏感操作,包括上傳文件、上傳短信、聯(lián)系人、錄音、位置等信息。相關(guān)代碼如下圖所示:
需要說明的是:程序先將獲取到的數(shù)據(jù)保存到本地文件夾中,然后統(tǒng)一上傳。上傳網(wǎng)址如下圖所示:
以下是靜態(tài)分析得出的網(wǎng)址。
總結(jié)
經(jīng)過安全研究人員分析,該惡意樣本會(huì)泄露用戶的重要隱私信息,可能會(huì)給用戶造成嚴(yán)重經(jīng)濟(jì)損失。
文章來源:FreeBuf黑客與極客(FreeBuf.COM)
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧