Новый Android-вредонос блокирует работу антивирусов

image

Теги: Android, вредоносное ПО

Вредонос блокирует работу антивирусов с помощью межсетевого экрана DroidWall.

Исследователи компании Symantec обнаружили новый образец вредоносного ПО для Android, использующий межсетевой экран DroidWall для избежания обнаружения антивирусным ПО. Вредонос под названием Android.Spywaller собирает персональные данные жертв и отправляет информацию на подконтрольные злоумышленникам серверы.

При инфицировании системы Android.Spywaller внедряется в память устройства и отображается под видом приложения «Google Service». Вредонос пытается получить права суперпользователя и в случае успеха начинает сбор персональных данных в фоновом режиме.

Отличительной особенностью данного вредоноса является использование мобильного межсетевого экрана DroidWall для предотвращения обнаружения антивирусным ПО. Android.Spywaller сканирует систему на предмет наличия популярного китайского антивируса Qihoo 360, после чего блокирует уникальный идентификатор программы с помощью DroidWall.

Вредонос нацелен на китайских пользователей. В КНР большая часть устройств имеет привилегии суперпользователя, упрощая процесс установки вредоносного ПО. К тому же, в связи с интернет-цензурой пользователи не могут получить доступ к официальным сервисам Google, в то время как Android.Spywaller имитирует одно из приложений компании.

Android.Spywaller перехватывает и отправляет злоумышленникам данные о журнале звонков, SMS-сообщениях, местоположении, а также журнал браузера, электронные сообщения, изображения и контакты жертвы. Кроме того, собирается информация из популярных мессенджеров, включая BlackBerry Messenger, Oovoo, Coco, QQ, SinaWeibo, Skype, Talkbox, TencentWeibo, Voxer, Wechat, WhatsApp и Zello.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.