繼側錄外撥電話，並將錄音傳送到某個遠端網站的 Android 惡意程式ANDROIDOS_NICKISPY.A 和 ANDROIDOS_NICKISPY.B 之後，趨勢科技又發現了另一個與ANDROIDOS_NICKISPY.A 程式碼結構相同的惡意程式ANDROIDOS_NICKISPY.C，除了少許不同之外，此程式行為上也和前者頗為類似。包含攔截簡訊，使用者手機的GPS定位和竊取eMail 等敏感資料，技高一籌的是它會自動接聽和祕密監聽電話等惡意行為。


它會使用下列服務：

MainService
AlarmService
SocketService

GpsService

CallRecordService

CallLogService

UploadService

SmsService

ContactService

SmsControllerService

CommandExecutorService

RegisterService

CallsListenerService

KeyguardLockService

ScreenService

ManualLocalService

SyncContactService

LocationService

EnvRecordService


ANDROIDOS_NICKISPY.C 惡意程式運用了 Google 最近發表的社交網路 Google+ 來偽裝，試圖不讓使用者發現。所有上述服務都使用了 Google+ 圖示，而其應用程式本身則以 Google++ 的名稱來安裝。



ANDROIDOS_NICKISPY.C 會搜集裝置上的資料，例如：簡訊、通話記錄、GPS 定位座標，然後將這些資料透過連接埠 2018 傳送至某個網址。
此外，它也會透過簡訊接收遠端命令。不過，在接收命令時，發訊者必須使用惡意程式設定檔中預先定義「控制者」號碼來傳送訊息，並且輸入一個密碼，命令才會執行。


自動接聽來電
就像其他 ANDROIDOS_NICKISPY 變種一樣，ANDROIDOS_NICKISPY.C 還能側錄感染裝置上的通話。不同的是，這個變種還具備自動接聽來電的能力。



從其程式碼來看，惡意程式會在下列條件下自動接聽來電：

電話必須是來自其設定檔中的「控制者」電話號碼。

手機的電話過濾功能必須關閉。

在接聽來電之前，它會先將電話設成靜音模式，以防使用者聽到。

此外，它還會隱藏撥號數字鍵盤，將目前顯示的畫面設為首頁。不過，在我們的測試過程中，惡意程式在接聽來電之後會讓螢幕畫面變成空白。

除了原本 ANDROIDOS_NICKISPY.A 就具備的電話測錄功能之外，該程式的作者似乎也打算從事更即時的監聽工作。
這個 Android 惡意程式僅能在 Android 2.2 或以下的版本才有作用，因為它用到的 MODIFY_PHONE_STATE 權限在 Android 2.3 當中已經被關閉。
如需有關如何保護 Android 裝置安全的資訊，請參閱我們的「保護 Android 智慧型手機的五個簡單步驟」(5 Simple Steps to Secure Your Android-Based Smartphones) 電子書。

Trend Micro Incorporated.