Smack技术远控木马工作分析文

AVL移动安全团队近期发现一种基于XMPP Smack Openfire开发的Android间谍软件。该恶意软件有如下行为特点： 1 根据远程客户端发送的指令上传用户的联系人信息、短信、通话记录、GPS位置信息、日期; 2 隐藏自身图标; 3 拦截指定短信。

Smack是一个开源的XMPP（jabber）客户端连接库，具有发送/接受消息、监视客户端当前所处的状态等众多功能的API。该恶意软件使用Smack技术时，首先利用XMPP SERVER建立连接，之后使用预置用户名和密码进行登录，登录成功便创建对象和其他用户进行交流，主要使用xml格式传输。

详细分析：

程序运行后，受控端首先会自动登录，登录成功后会访问网络。与主控端建立网络连接后，受控端会根据指令执行窃取隐私等恶意操作。简要流程如下图所示。

程序在启动后，会先获取账号密码：

该数据存在xml文件中。

之后便开始联网登录操作：

根据返回的数据能进行隐藏图标操作：

程序会通过主控端的远程指令进行多项敏感操作，包括上传文件、上传短信、联系人、录音、位置等信息。相关代码如下图所示：

需要说明的是：程序先将获取到的数据保存到本地文件夹中，然后统一上传。上传网址如下图所示：

以下是静态分析得出的网址。

【via@武汉安天团队】