警惕：冒充Google+ 让手机变成的恶意软件

继旁路监听录制外拨电话，并将录音传送到某个远程网站的Android恶意程序ANDROIDOS_NICKISPY.A和ANDROIDOS_NICKISPY.B之后，趋势科技又发现了另一个与ANDROIDOS_NICKISPY.A程序码结构相同的恶意程序ANDROIDOS_NICKISPY.C，除了少许不同之外，此程序行为上也和前者颇为类似。包含拦截短信、使用手机的GPS定位和窃取邮件等敏感资料，技高一筹的是它会自动接听和秘密监听电话。

该恶意程序会使用下列服务：

• MainService
• AlarmService
• SocketService
• <wbr></wbr>GpsService
• CallRecordService
• CallLogService
• UploadService
• SmsService
• ContactService
• SmsControllerService
• CommandExecutorService
• RegisterService
• CallsListenerService
• KeyguardLockService
• ScreenService
• ManualLocalService
• SyncContactService
• LocationService
• EnvRecordService

ANDROIDOS_NICKISPY.C恶意程序利用Google最近发布的社交网络Google+来伪装自己，试图不让用户发现。所有上述服务都使用了Google+的图标，而其应用程序本身则以Google++的名称来安装。

ANDROIDOS_NICKISPY.C会搜集设备上的信息，例如：短信、通话记录、GPS定位座标，然后将这些信息通过2018端口上传至某个网站。

此外，它也会通过短信接收远端命令。不过在接收命令时，发布命令者必须使用恶意程序设置预先定义“控制者”传输命令所用的号码，并输入一个密码，命令才会执行。

自动接听来电

就像其他ANDROIDOS_NICKISPY变种一样，AANDROIDOS_NICKISPY.C还能旁路监听并录制被感染设备上的通话。不同的是，这个变种还具备自动接听来电的能力。

从其程序码来看，该恶意程序会在下列条件满足的情况下自动接听来电：

1.电话必须是来自其设定档中的“控制者”电话号码。

2.手机的电话过滤功能必须关闭。

在接听来电之前，它会先将电话设成静音模式，以防用户听到。此外，它还会隐藏拨号数字键盘，将目前显示的画面设为首页。不过在我们的测试过程中，该恶意程序在接听来电之后会让屏幕画面变成空白。

除了原本ANDROIDOS_NICKISPY.A就具备的电话录制功能之外，该程序的作者似乎也打算从事更即时的监听工作。

这个Android恶意程序仅能在Android 2.2或以下的版本中使用，因为它用到的MODIFY_PHONE_STATE权限在Android2.3当中已经被关闭。

如需有关如何保护Android装置安全的信息，请参阅我们的“保护Android智能型手机的五个简单步骤”电子书。

本文版权为趋势科技所有，对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作！