2014.10.17

现在许多在移动设备上运行的恶意程序都是用来非法收集用户信息并从事间谍活动的。不久前侦测到的一种安卓木马也属于此类间谍木马，但不仅和大多数类似威胁的功能不同，而且针对的是不法分子感兴趣具体群体。Doctor Web公司技术人员将其命名为Android.SpyHK.1.origin并进行了分析研究。

这种新型安卓威胁在希望建立一个更民主的选举制度的香港抗议者中传播。由于木马伪装成用来统筹行动的应用程序，所以安装到这些人的移动设备上时并没有引起大多数受害者的怀疑。

Android.SpyHK.1.origin启动后与管理服务器建立连接，向管理服务器上传被感染设备的大量相关信息（如操作系统版本、电话号码、IMEI识别码、硬件规格等），之后等待不法分子的进一步指示。木马带有很多功能，并可以根据接收到的命令执行以下操作：

• 获取指定目录内容（名称、大小、文件和文件夹最新修改日期）；
• 获取设备GPS定位；
• 在日志文件进行记录；
• 在屏幕上显示指定内容的消息；
• 拨打指定号码；
• 获取设备相关信息；
• 执行指定的shell-脚本；
• 获取通讯录的扩展列表（包括姓名、号码以及email地址）；
• 获取SMS通讯访问权限；
• 获取通话记录；
• 将指定号码列入被监听的号码；
• 获取当前应监听的电话号码；
• 从指定Web地址下载文件；
• 删除设备中的指定文件；
• 将指定文件上传到管理服务器；
• 以一定时间间隔激活录音；
• 激活录音，同时转发到管理服务器套接字；
• 停止录音；
• 将内设邮箱客户端的本地数据库上传到管理服务器；
• 获取Web浏览器浏览历史；
• 将保存在内存卡上的文件和目录信息发送到管理服务器；
• 同时执行收集机密信息的多个指令并将收集到的信息发送到服务器。

Android.SpyHK.1.origin有几个不同于其他间谍木马的功能特性。其中包括利用电源管理系统小部件的已知漏洞来确定被感染安卓设备的GPS定位，这一漏洞允许绕过系统整体设置来激活移动设备的某些功能。尽管这一漏洞在2011年就已经被消除，但一些用户反应在最新版本的操作系统又再次出现。所以在某些情况下，Android.SpyHK.1.origin理论上可以激活被感染智能手机或平板电脑上的GPS接收器，即便是设备用户在相应设置中已禁用了此功能。

此外利用间谍木马管理服务器套接字传输录音文件可实现实时监听。这种技术提供了不同于利用隐藏拨号进行监听的另一种方法监听方式：当执法机构阻止通过蜂窝网络进行数据传输时，由于Wi-Fi网络可用率和活跃度非常高，所以不法分子仍有一定机会获取所需信息。此外，由于木马收集到的大部分信息会直接传送到远程服务器的套接字，如果计算资源足够强大，那么不法分子就能够实时获取被感染安卓设备所在环境的信息，通过所有被感染的智能手机和平板电脑就可以组织起一个强大的追踪系统。

所有这些都表明，正在进行的是一场精心策划的攻击，攻击的目的在于获取关于在港抗议人员现实情况和未来可能采取的行动的重要信息。因为不能排除在世界其他地区也使用了该恶意程序或类似恶意程序，所以移动设备用户一定要小心谨慎，不要在自己的设备上安装可疑的应用程序。

Android.SpyHK.1.origin记录已添加到Dr.Web病毒库，因此Dr.Web for Android 和Dr.Web for Android Light的用户不必为此担忧。

欢迎使用大蜘蛛保护您的安卓设备