警惕：冒充Google+ 让手机变成窃听器的恶意软件

继旁路监听录制外拨电话，并将录音传送到某个远程网站的Android 恶意程序ANDROIDOS_NICKISPY.A 和ANDROIDOS_NICKISPY.B 之后，趋势科技又发现了另一个与ANDROIDOS_NICKISPY.A 程序码结构相同的恶意程序ANDROIDOS_NICKISPY.C，除了少许不同之外，此程序行为上也和前者颇为类似。包含拦截短信、使用手机的GPS定位和窃取邮件等敏感资料，技高一筹的是它会自动接听和秘密监听电话。

该恶意程序会使用下列服务：

•  MainService
• AlarmService
• SocketService
•  GpsService
• CallRecordService
• CallLogService
• UploadService
• SmsService
• ContactService
• SmsControllerService
• CommandExecutorService
• RegisterService
• CallsListenerService
• KeyguardLockService
• ScreenService
• ManualLocalService
• SyncContactService
• LocationService
• EnvRecordService

ANDROIDOS_NICKISPY.C 恶意程序利用 Google 最近发布的社交网络 Google+ 来伪装自己，试图不让用户发现。所有上述服务都使用了 Google+的图标，而其应用程序本身则以Google++ 的名称来安装。

  

 ANDROIDOS_NICKISPY.C会搜集设备上的信息，例如：短信、通话记录、GPS 定位座标，然后将这些信息通过 2018端口上传至某个网站。

此外，它也会通过短信接收远端命令。不过在接收命令时，发布命令者必须使用恶意程序设置预先定义“控制者”传输命令所用的号码，并输入一个密码，命令才会执行。

自动接听来电

就像其他 ANDROIDOS_NICKISPY 变种一样，AANDROIDOS_NICKISPY.C 还能旁路监听并录制被感染设备上的通话。不同的是，这个变种还具备自动接听来电的能力。

从其程序码来看，该恶意程序会在下列条件满足的情况下自动接听来电：

1.        电话必须是来自其设定档中的“控制者”电话号码。

2.        手机的电话过滤功能必须关闭。

在接听来电之前，它会先将电话设成静音模式，以防用户听到。此外，它还会隐藏拨号数字键盘，将目前显示的画面设为首页。不过在我们的测试过程中，该恶意程序在接听来电之后会让屏幕画面变成空白。

除了原本 ANDROIDOS_NICKISPY.A 就具备的电话录制功能之外，该程序的作者似乎也打算从事更即时的监听工作。

这个 Android 恶意程序仅能在 Android 2.2 或以下的版本中使用，因为它用到的MODIFY_PHONE_STATE 权限在 Android2.3 当中已经被关闭。

如需有关如何保护 Android 装置安全的信息，请参阅我们的“保护 Android 智能型手机的五个简单步骤”电子书。

本文版权为趋势科技所有，对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作！