惡意軟件的開發(fā)者們真是極為聰明，最近安全研究人員們發(fā)現(xiàn)他們現(xiàn)在使用開源的Android防火墻屏蔽安全軟件與云服務(wù)器的通信。雖然這些惡意軟件沒有造成全球范圍的影響，但不得不承認(rèn)這樣的新方法還是很有創(chuàng)意的。

　　賽門鐵克發(fā)現(xiàn)的最新案例是針對中國Android用戶的一款惡意軟件，賽門鐵克將其命名為Android.Spywaller。

　　這個(gè)惡意軟件的獨(dú)特之處在于，感染目標(biāo)設(shè)備后，它會尋找奇虎360，這是中國Android用戶中非常流行的一款安全軟件。

　　使用防火墻屏蔽奇虎360的通信

　　這款惡意軟件會查找奇虎360使用的UID(唯一標(biāo)識符, unique identifier)，之后它會加載DroidWall程序，這是Android平臺上一款強(qiáng)大的防火墻前端軟件，由UNIX iptable包修改而來。

　　iptables防火墻是Linux系統(tǒng)中非常知名的防火墻，DroidWall是由獨(dú)立安全研究員Rodrigo Rosauro開發(fā)的，2011年他將DroidWall出售給了AVAST。由于軟件之前開源過很長一段時(shí)間，惡意軟件作者可以在Google Code或者GitHub找到DroidWall。

　　DroidWall可以屏蔽安全軟件連接云端檢測服務(wù)器，導(dǎo)致安全軟件變成雞肋。

　　偽裝成Google應(yīng)用

　　賽門鐵克的研究人員稱，惡意軟件在中國用戶之間的傳播不是很廣泛，因此目前還無需太擔(dān)心。

　　為了感染用戶，這款惡意軟件還會把自己偽裝成Google應(yīng)用“Google Service”，這正是利用了大部分中國手機(jī)都不安裝Google Play商店的特點(diǎn)。

　　Android.Spywaller通過非官方的Android應(yīng)用商店傳播，欺騙用戶授予它大量權(quán)限，之后它就會繼續(xù)在后臺工作，并從設(shè)備中竊取信息，上傳至它的一個(gè)C&C服務(wù)器。

　　賽門鐵克的報(bào)告稱，這款應(yīng)用會搜索、獲取數(shù)據(jù)，包括通話記錄、短信、GPS、系統(tǒng)瀏覽器數(shù)據(jù)、郵件、收音機(jī)、圖片和通訊錄。

　　另外，這款病毒還會竊取其他應(yīng)用的數(shù)據(jù)，如BlackBerry Messenger, Oovoo, Coco, QQ, Talkbox, Skype, Voxer , WhatsApp, Zello新浪微博、騰訊微博、微信。