Вирус Android.Spywaller блокирует работу антивируса

вс, 07/02/2016 - 20:44
Вирус Android.Spywaller блокирует работу антивируса

Американская корпорация Symantec, занимающаяся разработкой и внедрением антивирусных программ, заявила о появлении нового зловредного ПО, внедряющегося в устройства с ОС Android «на борту».

Внедрившись в систему, вирус блокирует антивирусную программу, препятствуя ее нормальной работе. Как отметили эксперты Symantec, для проникновения зловредное ПО использует firewall DroidWall.

Согласно классификации американской компании, вирусу было присвоен статус Android.Spywaller. Для проникновения и блокировки вредительская программа пользуется известными схемами: пользователь не видит иконку, приложение всячески «заметает следы», используя только оперативную память устройства. Завершив установку на устройство на базе Android, вирусная программа Malware помещает на рабочем столе фальшивую иконку Google Service, выглядит которая как оригинальная Google-программа. Следует отметить, что у крупнейшего поисковика нет программы Google Service.

Проникнув на смартфон, планшет или другое устройство на базе Android, вирус начинает собирать пользовательские данные, пытается взять над устройством root-контроль. Полученную информацию вирус отправляет на сайт создателей вируса.

В первую очередь, вредоносная программа Malware пытается украсть СМС, навигационные данные, информацию о голосовых вызовах, историю поиска, личные письма, телефонную книгу и фотографии пользователя. Вирус действует и в режиме шпиона, следит за действиями владельца смартфона в мессенджерах, например, в WhatsApp, Skype и Oovoo.

У Android.Spywaller есть одна особенность, которая делает его уникальным среди прочего вирусного ПО. Программа целенаправленно ищет на смартфоне или планшете самый популярный китайский антивирус Qihoo 360. Обнаружив антивирус, вирус разрушает его.

Qihoo 360 присваивает устройствам уникальные идентификационные UID-номера. Android.Spywaller, обнаружив популярное в КНР антивирусное ПО, выхватывает информацию о UID устройства и передает ее в DroidWall, которая является кастомизированной версией iptables для устройств на базе ОС Android. Программа была разработана программистом Р. Розауро, который 5 лет назад продал DroidWall корпорации Avast. Исходный код DroidWall остался доступен с платформы GitHub, что привело к утечке. Файерволом программы Розауро воспользовались мошенники, блокирующие некоторые приложения через UID с применением межсетевого экрана. Именно таким образом злоумышленники смогли заблокировать антивирус Qihoo 360.

В компании Symantec отмечают, что в настоящее время распространение Android.Spywaller не достигло угрожающих масштабов: вирус «действует» в основном на территории КНР. Китайские пользователи оказались беззащитны перед злоумышленниками, так как в Поднебесной половина сервисов Гугл отключена. Жители страны скачивают приложения из ненадежных источников. Избавиться от Android.Spywaller можно лишь одним способом – самостоятельно удалить с устройства Malware.