Исследователями компании Symantec обнаружено новое вредоносное программное обеспечение для Android, использующее межсетевой экран DroidWall, чтобы избежать обнаружения антивирусной программой.
Вредоносная программа, получившая название Android.Spywaller, осуществляет сбор персональных данных пользователей и отправку информации на серверы, находящиеся под контролем киберпреступников.
При заражении системы происходит внедрение в память устройства вредоносной программы, которая отображается под видом приложения Google Service. Android.Spywaller стремится заполучить права суперпользователя. Если программе это удается, то она в фоновом режиме собирает персональные данные.
Отличительная черта Android.Spywaller – применение мобильного межсетевого экрана DroidWall для того, чтобы предотвратить обнаружение вредоносной программы антивирусом. Android.Spywaller осуществляет сканирование системы на предмет наличия китайской антивирусной программы Qihoo 360, после чего производит блокировку ее уникального идентификатора, используя DroidWall.
В качестве целей создатели вредоносной программы выбрали китайских пользователей. В Китае большинство устройств имеет привилегии суперпользователя, что упрощает процедуру установки вредоносных программ. Ситуацию усугубляет то, что у пользователей из-за Интернет-цензуры нет доступа к официальным сервисам Google, а Android.Spywaller как раз маскируется под одно из таких приложений.
Android.Spywaller осуществляет перехват и отправку на серверы злоумышленников данных о местоположении, журнале звонков, SMS-сообщениях, а также журнала браузера, электронных сообщений, изображений и контактов жертвы. Помимо этого, ведется сбор информации из популярных мессенджеров.
