遠程訪問工具一直都是黑客攻擊個人和企業(yè)網絡的主要手段之一。該工具被用來做各樣事情，從入侵《紐約時報》記者郵箱到通過受害者的網絡攝像頭捕捉他們的視頻和音頻。最近，無線寬帶和智能手機及平板電腦的功能已經將黑客的覆蓋范圍擴展至臺式電腦之外。在昨天的一篇博客文章上，賽門鐵克(Symantec)高級軟件工程師安德烈·勒李(Andrea Lelli)描述了基于Android遠程控制工具Androrat的惡意軟件地下市場的興起。

Androrat于2012年11月在GitHub平臺發(fā)布，當時是作為遠程管理Android設備的一款開源軟件。偽裝成標準的Android應用程序(以APK文件形式)后，Androrat可以作為一項服務安裝在設備上。一旦安裝完畢，用戶完全不需要與這款應用程序互動——來自特定電話號碼的一條短信或者一個電話就可以遠程將其激活。

這款應用程序可以抓取設備上所有日志、通訊錄數據和所有短信，并且當這些信息輸入的時候予以捕獲。該程序可以實時監(jiān)控所有的 呼叫活動、使用手機的照相機拍照片、通過手機的麥克風錄取音頻并傳輸至服務器。該應用程序還可以在設備屏幕上顯示應用程序信息、撥打電話、發(fā)送短信并且通 過瀏覽器打開網站。如果就其作為應用程序(或“活動”)打開，它甚至可以通過攝像頭拍攝視頻傳回服務器。

黑客已經掌握了Androrat的代碼并進行改善。最近，惡意軟件的地下市場開始提供Androrat“捆綁機”工具，將遠程訪問工具附著在其他正規(guī)應用程序的APK文件上。當用戶下載這個外表看起來無害、但已經捆綁Androrat的應用程序，這個遠程訪問工具無需用戶額外輸入就可以和應用程序一起進行安裝，突破Android的安全模式。賽門鐵克報告稱，分析師已經找到23款這樣的應用程序。其代碼也被植入到其他“商業(yè)”惡意軟件，例如Adwind。

勒李表示，賽門鐵克已經偵查了“幾百宗”基于Androrat的惡意軟件感染Android設備案件，大部分都發(fā)生于美國和土耳其。但是現(xiàn)在只要愿意出錢就可以買到這些捆綁機，感染和擴散的可能性正快速提高。