窃听电话的Hacking Team RCSAndroid木马

安卓设备小心：4.0-4.3版本都可以被RCSAndroid 搞定。

安卓平台上的远程控制木马RCSAndroid是目前曝光的安卓中最专业、最复杂的恶意程序之一。

自Hacking Team信息泄漏以来，安全领域每天都被一些漏洞、exp等等消息所覆盖，当然还有更多的信息尚待挖掘。现在，终于轮到安卓了，可惜是个非常不好的消息：一个新的远程访问木马（RAT）。

RCSAndroid有十种“超能力”

趋势科技研究人员发现的这种新木马叫做RCSAndroid，并称之为是迄今为止安卓中“最专业和最复杂”的恶意程序之一。

该远程访问木马经过进化，可以在没有root权限的情况下入侵手机并无法被清除。最好的建议就是寻求手机制造商的帮助，重新清理手机。

RCSAndroid可以执行以下10种间谍功能：

·使用“screencap”指令进行截图，并可直接读取屏幕缓冲群内容 ·监视剪贴板的内容 ·收集Wi-Fi网络及各种网络账户密码，包括Skype、Facebook、Twitter、Google、WhatsApp、Mail和LinkedIn。 ·使用麦克风录音 ·记录短信、多媒体信息和Gmail消息 ·记录定位坐标 ·收集设备信息 ·使用前置、后置摄像头拍照 ·收集账户中的联系人并解码通信，账户包括Facebook Messenger、WhatsApp、Skype、Viber、Line、微信、Hangouts、以及黑莓消息 ·拦截系统的mediasever服务，可时录下任何电话与App的语音通话

这个木马可以通过不同方式感染设备，但通常是以带有URL的短息或者邮件进行传播。

“在安卓4.0至4.3版本的默认浏览器中，这个URL将触发对任意内存读取（CVE-2012-2825）漏洞及堆缓冲区溢出（CVE-2012-2871）的利用，攻击者进而可以执行另一个本地提权。当获得root后，便会安装一个shell后门和RCSAndroid代理APK文件。”

RCSAndroid代码研究

一旦安装了RCSAndroid，它便开始如集束炸弹般勤奋工作，在部署多个危险陷阱的同时，还会使用大量技术手段侵染设备。

通过研究代码，趋势科技发现整套系统包括四大部分：

1、渗透工具：通过短信、邮件或者正常应用程序而进入设备内部 2、低阶原生代理程式：突破安卓安全架构的进阶漏洞攻击及监控工具 3、高阶Java代理程式：应用程序的恶意APK文件 4、指挥控制（C&C）服务器：用于远程发送或接受恶意命令

安全建议

为了对这种类型的恶意软件进行防范，用户应该遵循以下操作：

·拒绝从未知来源的第三方渠道下载应用程序安装包。 ·不断将你的安卓设备系统更新到最新版本，以防止漏洞利用。不过，值得注意的是据Hacking Team泄露出的一封客户邮件发现，该公司已经在开发针对Android 5.0的木马程序。 ·安装一个安全应用程序来防御威胁。

RCSAndroid的泄露已经让它成了一个公开的商业间谍利器。使用者最好即使掌握其最新发展动向，并留意设备是否遭遇监听的迹象。而值得怀疑的现象包括系统出现异常行为，比如：不能正常开机、设备中出现的一些不明应用程序、通讯软件闪退等等。

*参考来源：SA，转载请注明来自Freebuf黑客与极客（FreeBuf.COM）