繼側錄外撥電話,並將錄音傳送到某個遠端網站的 Android 惡意程式
ANDROIDOS_NICKISPY.A 和
ANDROIDOS_NICKISPY.B 之後,
趨勢科技又發現了另一個與ANDROIDOS_NICKISPY.A 程式碼結構相同的惡意程式
ANDROIDOS_NICKISPY.C,除了少許不同之外,此程式行為上也和前者頗為類似。包含攔截簡訊,使用者手機的GPS定位和竊取eMail 等敏感資料,技高一籌的是它會自動接聽和祕密監聽電話等惡意行為。
它會使用下列服務:
MainService
AlarmService
SocketService
GpsService
CallRecordService
CallLogService
UploadService
SmsService
ContactService
SmsControllerService
CommandExecutorService
RegisterService
CallsListenerService
KeyguardLockService
ScreenService
ManualLocalService
SyncContactService
LocationService
EnvRecordService
ANDROIDOS_NICKISPY.C 惡意程式運用了 Google 最近發表的社交網路 Google+ 來偽裝,試圖不讓使用者發現。所有上述服務都使用了 Google+ 圖示,而其應用程式本身則以 Google++ 的名稱來安裝。
ANDROIDOS_NICKISPY.C 會搜集裝置上的資料,例如:簡訊、通話記錄、GPS 定位座標,然後將這些資料透過連接埠 2018 傳送至某個網址。
此外,它也會透過簡訊接收遠端命令。不過,在接收命令時,發訊者必須使用惡意程式設定檔中預先定義「控制者」號碼來傳送訊息,並且輸入一個密碼,命令才會執行。
自動接聽來電
就像其他 ANDROIDOS_NICKISPY 變種一樣,
ANDROIDOS_NICKISPY.C 還能側錄感染裝置上的通話。不同的是,這個變種還具備自動接聽來電的能力。
從其程式碼來看,惡意程式會在下列條件下自動接聽來電:
電話必須是來自其設定檔中的「控制者」電話號碼。
手機的電話過濾功能必須關閉。
在接聽來電之前,它會先將電話設成靜音模式,以防使用者聽到。
此外,它還會隱藏撥號數字鍵盤,將目前顯示的畫面設為首頁。不過,在我們的測試過程中,惡意程式在接聽來電之後會讓螢幕畫面變成空白。
除了原本 ANDROIDOS_NICKISPY.A 就具備的電話測錄功能之外,該程式的作者似乎也打算從事更即時的監聽工作。
這個 Android 惡意程式僅能在 Android 2.2 或以下的版本才有作用,因為它用到的 MODIFY_PHONE_STATE 權限在 Android 2.3 當中已經被關閉。
如需有關如何保護 Android 裝置安全的資訊,請參閱我們的「
保護 Android 智慧型手機的五個簡單步驟」(5 Simple Steps to Secure Your Android-Based Smartphones) 電子書。
Trend Micro Incorporated.