遠(yuǎn)程訪問(wèn)工具一直都是黑客攻擊個(gè)人和企業(yè)網(wǎng)絡(luò)的主要手段之一。該工具被用來(lái)做各樣事情，從入侵《紐約時(shí)報(bào)》記者郵箱到通過(guò)受害者的網(wǎng)絡(luò)攝像頭捕捉他們的視頻和音頻。最近，無(wú)線寬帶和智能手機(jī)及平板電腦的功能已經(jīng)將黑客的覆蓋范圍擴(kuò)展至臺(tái)式電腦之外。在昨天的一篇博客文章上，賽門鐵克(Symantec)高級(jí)軟件工程師安德烈·勒李(Andrea Lelli)描述了基于Android遠(yuǎn)程控制工具Androrat的惡意軟件地下市場(chǎng)的興起。

Androrat于2012年11月在GitHub平臺(tái)發(fā)布，當(dāng)時(shí)是作為遠(yuǎn)程管理Android設(shè)備的一款開(kāi)源軟件。偽裝成標(biāo)準(zhǔn)的Android應(yīng)用程序(以APK文件形式)后，Androrat可以作為一項(xiàng)服務(wù)安裝在設(shè)備上。一旦安裝完畢，用戶完全不需要與這款應(yīng)用程序互動(dòng)——來(lái)自特定電話號(hào)碼的一條短信或者一個(gè)電話就可以遠(yuǎn)程將其激活。

這款應(yīng)用程序可以抓取設(shè)備上所有日志、通訊錄數(shù)據(jù)和所有短信，并且當(dāng)這些信息輸入的時(shí)候予以捕獲。該程序可以實(shí)時(shí)監(jiān)控所有的 呼叫活動(dòng)、使用手機(jī)的照相機(jī)拍照片、通過(guò)手機(jī)的麥克風(fēng)錄取音頻并傳輸至服務(wù)器。該應(yīng)用程序還可以在設(shè)備屏幕上顯示應(yīng)用程序信息、撥打電話、發(fā)送短信并且通 過(guò)瀏覽器打開(kāi)網(wǎng)站。如果就其作為應(yīng)用程序(或“活動(dòng)”)打開(kāi)，它甚至可以通過(guò)攝像頭拍攝視頻傳回服務(wù)器。

黑客已經(jīng)掌握了Androrat的代碼并進(jìn)行改善。最近，惡意軟件的地下市場(chǎng)開(kāi)始提供Androrat“捆綁機(jī)”工具，將遠(yuǎn)程訪問(wèn)工具附著在其他正規(guī)應(yīng)用程序的APK文件上。當(dāng)用戶下載這個(gè)外表看起來(lái)無(wú)害、但已經(jīng)捆綁Androrat的應(yīng)用程序，這個(gè)遠(yuǎn)程訪問(wèn)工具無(wú)需用戶額外輸入就可以和應(yīng)用程序一起進(jìn)行安裝，突破Android的安全模式。賽門鐵克報(bào)告稱，分析師已經(jīng)找到23款這樣的應(yīng)用程序。其代碼也被植入到其他“商業(yè)”惡意軟件，例如Adwind。

勒李表示，賽門鐵克已經(jīng)偵查了“幾百宗”基于Androrat的惡意軟件感染Android設(shè)備案件，大部分都發(fā)生于美國(guó)和土耳其。但是現(xiàn)在只要愿意出錢就可以買到這些捆綁機(jī)，感染和擴(kuò)散的可能性正快速提高。