即使一些恶意软件家族永远不会引发全世界范围内的损害,不过有时候看看恶意软件作者是如何使用新技巧来制造网络威胁也是蛮有趣的。
最近有一款恶意软件家族专门针对中国的安卓设备,赛门铁克将其命名为Android.Spywaller。这个威胁的特别之处在于,在感染过程中,恶意软件会查看设备中山会否存在奇虎360的安全app。
Android.Spywaller使用防火墙拦截奇虎360的内部通信
恶意软件会利用奇虎360app使用的UID在设备上搜索并注册,然后加载一个名为DroidWall的二进制(UNIX iptable包)。这个iptable包是Linux系统使用的防火墙,而DroidWall首先由独立安全研究员Rodrigo Rosauro开发并随后卖给AVAST。由于几年之后才开源,因此恶意软件作者仍然可从GoogleCode或者GitHub库中找到这款app。
跟Android.Spywaller一样,DroidWall也能拦截安全app与云威胁分析服务器的通信,让安全app如同废铜烂铁无法起作用,而恶意软件能大摇大摆地访问设备。
Android.Spywaller伪装成Google app感染设备
赛门铁克研究人员表示这款恶意软件的感染范围还不是很大,因此不必过于担心。为了感染用户,恶意软件会伪装成一款名为“GoogleService”的谷歌app,这正是利用了中国还未出现官方谷歌应用商店的事实(实际上并不存在名为GoogleService的app。)这款恶意app通过非官方安卓应用商店传播,并且诱骗用户提供管理权限,之后转入后台运行,窃取设备信息,随后将信息上传至命令服务器中。
迄今为止最完善的安卓监控软件家族之一
赛门铁克表示,这款app会搜索并提取诸多信息,如通话日志、短信、GPS读数、系统浏览数据、电子邮件、图片、通讯录等。此外,这款app还会从其它app中获取数据,如BlackBerry Messenger、Oovoo、Coco、QQ、新浪微博、Skype、Talkbox、腾讯微博、Voxer、微信、WhatsApp以及Zello。
研究人员表示,Android.Spywaller是目前为止最具入侵悉尼的监控软件家族,这款恶意软件覆盖了多种数据类型和信息源。