卡巴斯基实验室（Kaspersky Labs）在本周三发表的一篇博文中对一个被命名为“BusyGasper”的Android恶意软件进行了详尽的分析。从这个恶意软件所具备的功能来看，它应该属于一种间谍软件。 [出自:jiwo.org]

根据卡巴斯基实验室的说法，BusyGasper的结构并不复杂，但它展现出了一些不同寻常的间谍功能，包括监视受感染设备上的传感器（如运动检测器）。从分析的结果来看，这个模块化的间谍软件能够发出大约100个不同的命令，能够实现各种各样的恶意行为。例如，从一些消息应用程序（如WhatsApp、Viber和Facebook）中提取数据、获取屏幕截图、拍摄照片或录制视频，以及键盘记录等。

由卡巴斯基实验室分析的BusyGasper样本具有多个组件结构，可以从其C＆C服务器下载有效载荷（payload）或更新，而这些C＆C服务器恰好是属于免费俄语网络托管服务Ucoz的FTP服务器。

值得注意的是，这个BusyGasper样本支持IRC（互联网中继聊天）协议，这在Android恶意软件中十分罕见。此外，它还可以登录攻击者的电子邮件收件箱，在特定的文件夹（“Cmd”）中解析电子邮件以获取命令，并通过电子邮件附件将有效载荷（payload）保存到受感染设备中。

卡巴斯基实验室还表示，他们并没有发现能够证明BusyGasper是通过鱼叉式网络钓鱼或其他常见载体分发的证据。相反，从目前已经发现的一些线索来看，它很可能是由攻击者手动安装的，这涉及到需要对目标设备的物理访问。

从受害者的数量来看，卡巴斯基实验室的这种猜测有很大可能是正确的。因为从该实验室在攻击者的FTP服务器上获取到的几个TXT文件（包含了受害者标识符）来看，自2016年5月以来感染了BusyGasper的受害者不足10人。另外，从TXT文件的名称和分析结果来看，这些受害者都位于俄罗斯。例如，其中几个TXT文件以“Jana”、“SlavaAl”和“Nikusha”命名，它们都是俄罗斯人常用的名字。

卡巴斯基实验室总结说，它们将BusyGasper与一些商品化的间谍软件以及其他一些已知的间谍软件进行了对比，但并没有发现任何相似之处，这表明BusyGasper很有可能是由一个黑客组织自主开发和使用的。同时，缺乏混淆处理以及使用公共FTP服务器进行通信，这表明该恶意软件的开发者很可能并不是犯罪领域的一位“老手”。