揭秘：独特的技术手段，远程控制你的手机

我们最近在分析恶意样本时候发现了两类独特的技术手段，一种利用轻量级web服务器jetty来窃取用户隐私，另一种使用Androidpn推送指令来远程控制。

一、更独特隐蔽的隐私窃取—web服务器

这类木马利用轻量级web服务器jetty将目标手机变成服务器后，通过url请求获取手机上的任意资源，造成用户隐私泄露。

工作方式：

在目标手机上设置jetty服务器后，通过浏览器等请求特定的URL，可获取目标手机上的资源，包括隐私信息等。

架构如下：

 

获取用户隐私信息对应的url路径：

 

该木马通过将目标手机变成服务器后，通过url请求获取手机上的任意资源，造成用户隐私泄露，这种方式更为独特而隐蔽。

二、另类指令获取—Androidpn推送

AVL移动团队近期发现了一种使用Androidpn推送指令的远控间谍软件，该程序伪装成系统应用、诱导用户激活设备管理器，根据推送获取的指令来进行上传通话记录、通话录音、环境录音、联系人、短信箱、地理位置等隐私信息，并能执行修改短信箱内容、私发短信、拦截短信、屏蔽来电等操作，窃取用户隐私、影响手机的正常体验。

android push notification原理（源自Androidpn界面截图）：

 

向用户手机客户端push消息（源自Androidpn界面截图）：

 

登录xmpp服务器，获取消息指令（源自Androidpn界面截图）：

 

远控模块流程：

 

 

此外，该应用能接收指令，私自修改替换短信箱中的内容。。

 

该样本使用少见的Androidpn推送方式来获取指令，加上多种窃取隐私信息，尤其修改短信箱内容功能更为罕见。

三、小结

随着时间的推移，恶意代码也会使用到各种新的技术和手段，逐步强大而隐蔽，更与安全软件对抗起来。手机设备性能的提升，使得种种PC上的服务变得可能，Android系统功能的增多也给恶意软件带来更多的途径。

相关文章

• Dropbox如何知道你在分享侵权文件
• 如何在网上保持完全匿名？
• Pipelight – 让 Linux 原生 Chromium/Chrome 无缝支持 ActiveX 控件 (看! 网银!)
• 恼火Flash，IE/Chrome等如何设置“点击播放”
• 用Linux命令行生成随机密码的十种方法
• 流量劫持是如何产生的？
• iPhone防盗指南
• 你的电脑在偷偷连接什么网站？
• 如何确定远程计算机所用的操作系统
• 网站是如何跟踪监视你的

揭秘：独特的技术手段，远程控制你的手机，首发于 极客范 - GeekFan.net。