Специалисты компании Symantec обнаружили новый внедонос, предназначенный для поражения Android-устройств. Малварь действует не совсем обычно и умудряется блокировать работу антивирусного ПО на пораженном устройстве, используя для этого файрвол DroidWall.
Вредонос получил имя Android.Spywaller в классификации Symantec. В целом Android.Spywaller использует те же схемы работы, что и другие «представители жанра»: вредоносное приложение скрывает от пользователя свою иконку и старается замести следы, оперируя в основном в памяти мобильного устройства. После завершения установки, малварь создает иконку поддельного приложения «Google Service», которая маскируется под официальный сервис Google (у поискового гиганта нет сервиса с такими именем).
Заразив устройство, вредонос пытается получить к нему root-доступ, а также, в фоновом режиме, собирает личные данные пользователя. Собранную информацию Android.Spywaller переправляет на сервер, подконтрольный злоумышленникам.
Малварь охотится за содержимым SMS, логами голосовых вызовов, GPS координатами, информацией системного браузера, письмами пользователя, его изображениями и контактами. Кроме того, вредонос несет в себе черты spyware и оказывает пристальное внимание работе некоторых мессенджеров, в числе которых: BlackBerry Messenger, Oovoo, Coco, QQ, SinaWeibo, Skype, Talkbox, TencentWeibo, Voxer, Wechat, WhatsApp и Zello.
Но одна особенность Android.Spywaller ярко выделяет его из череды других похожих программ. Вредонос прицельно ищет на каждом зараженном устройстве антивирусное приложение Qihoo 360, которое крайне популярно в Китае. Если антивирус был обнаружен, малварь блокирует его работу.
Программа Qihoo 360 присваивает каждому устройству уникальный номер (UID). Если Android.Spywaller обнаруживает на устройстве жертвы данный антивирус, он собирает данные о его UID, а затем бросает в бой файрвол DroidWall.
По сути, DroidWall – это кастомизированная версия iptables для Android. Приложение зародилось как open source проект, созданный разработчиком Родриго Розауро (Rodrigo Rosauro). В 2011 году DroidWall был продан компании Avast, но его исходные коды по-прежнему доступны на GitHub и Google Code. К сожалению, из-за этого файрвол Розауро может быть использован злоумышленниками, ведь межсетевой экран способен создавать правила и блокировать определенные приложения, ориентируясь на их UID. Именно таким образом Android.Spywaller использует DroidWall. Малварь попросту блокирует работу антивируса Qihoo 360 по UID.
Специалисты Symantec пишут, что пока Android.Spywaller распространен не слишком широко, в основном он атакует китайских пользователей. Китайцы вновь стали «легкой добычей», так как в КНР не работает половина официальных сервисов Google, и пользователи вынуждены скачивать приложения из сторонних магазинов и других подозрительных источников. Пока единственный способ борьбы с Android.Spywaller – удаление малвари вручную.
Взято с Xakep.ru