freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

剖析Smack技术远控木马
2015-03-16 13:24:20

AVL移动安全团队近期发现一种基于XMPP Smack Openfire开发的Android间谍软件。该恶意软件有如下行为特点: 1 根据远程客户端发送的指令上传用户的联系人信息、短信、通话记录、GPS位置信息、日期; 2 隐藏自身图标; 3 拦截指定短信。

Smack是一个开源的XMPP(jabber)客户端连接库,具有发送/接受消息、监视客户端当前所处的状态等众多功能的API。该恶意软件使用Smack技术时,首先利用XMPP SERVER建立连接,之后使用预置用户名和密码进行登录,登录成功便创建对象和其他用户进行交流,主要使用xml格式传输。

详细分析:

程序运行后,受控端首先会自动登录,登录成功后会访问网络。与主控端建立网络连接后,受控端会根据指令执行窃取隐私等恶意操作。简要流程如下图所示。

1

程序在启动后,会先获取账号密码:

2

该数据存在xml文件中。

3

之后便开始联网登录操作:

4

根据返回的数据能进行隐藏图标操作:

5

程序会通过主控端的远程指令进行多项敏感操作,包括上传文件、上传短信、联系人、录音、位置等信息。相关代码如下图所示:

7

8

需要说明的是:程序先将获取到的数据保存到本地文件夹中,然后统一上传。上传网址如下图所示:

9

以下是静态分析得出的网址。

10

总结

经过安全研究人员分析,该恶意样本会泄露用户的重要隐私信息,可能会给用户造成严重经济损失。

[作者/AVLTeam(企业账号),转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)]

本文作者:, 转载请注明来自FreeBuf.COM

# 木马 # Smack
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑