尽管某些恶意软件家族从未在世界范围内造成严重危害，但有时候阅读此类新技术的相关说明并了解这些恶意软件开发者如何打造自己的威胁工具也颇有乐趣。

最近刚刚出现的恶意软件家族为立足于中国并以Android设备为目标的Android.Spywaller——由赛门铁克公司所发现。

这项安全威胁的独特性在于强大的感染能力：具体来讲，这款恶意软件会搜索手机上的奇虎360，一款在中国Android用户当中极为流行的安全应用。

Android.Spywaller利用防火墙阻断奇虎360的内部通信

此恶意软件会在受感染的Android设备上搜索并注册与奇虎360完全相同的UID（即惟一标识符），而后载入一个名为DroidWall的二进制文件——属于UNIX iptable软件包的版本之一，经过修改以运行在Android设备之上。

这一iptable软件包正是Linux系统上鼎鼎大名的一款防火墙工具，而DroidWall则由独立安全研究人员Rodrigo Rosauro所开发，其随后于2011年将其出售给了AVAST公司。由于该应用的开发过程耗时数年且采用开源模式，因此恶意软件编写者目前仍然能够通过Google Code或者GitHub库找到其源代码。

与Android.Spywaller的使用思路相同，DroidWall能够用于阻断安全应用同其云端威胁分析服务器间的通信，导致安全应用因此失效，从而让恶意软件得以任意肆虐并访问整台设备。

Android.Spywaller冒充谷歌应用感染Android设备

赛门铁克公司的研究人员指出，这款恶意软件在中国用户群体内的感染比例并不太高，所以就目前来看还无需太过担心。

为了感染用户，这款恶意软件伪装成了名为“谷歌服务”的一款谷歌应用，从而利用到Google Play Store在中国尚未正式上线这一现状。（需要指出的是，并不存在被称为‘谷歌服务’的谷歌官方应用。）

通过非官方Android应用商店进行传播并诱骗用户为其提供管理员权限，Android.Spywaller能够运行在手机后端当中，从设备内窃取信息而后将数据上传至其指挥服务器处。

迄今为止发现的最为完整的Android间谍软件家族之一

赛门铁克公司报告称，该应用能够搜索并窃取多种数据类型，具体包括日志、短信、GPS数据、系统浏览器数据、电子邮件、收音机、图像以及联系人列表等。

除此之外，这款应用还能够从其它一些应用当中获取数据，包括黑莓Messenger、Oovoo、Coco、QQ、新浪微博、Skype、Talkbox、腾讯微博、Voxer、微信、WhatsApp以及Zello等等。

研究人员指出，Android.Spywaller是目前他们发现的最具入侵能力的间谍软件家族，该恶意软件一次性涵盖了多种数据类型及信息来源。

Android.Spywaller以谷歌服务（Google Service）应用姿态隐藏在受害者的手机当中：

本文由E安全译自：http://news.softpedia.com/news/android-malware-uses-built-in-firewall-to-block-security-apps-498175.shtml

转载请注明来自 E安全 （www.easyaq.com）

您也可以下载E安全app获取及时最及时的安全资讯