攻防双方一直在不断角力,靠着对方的刺激在不断成长。当反病毒战士们在绞尽脑汁研究如何提升哪怕1%的检出率时,处在黑暗中的恶意软件作者也在研究怎么能够绕过防御检测机制。随着智能移动设备数量的激增,以及计算、存储和传输能力的不断加强,越来越多的移动端恶意软件流传出来。但是很多的传统反病毒还是将目光集中在PC端,而忽略了移动端这一更大的战场。
在Fortinet FortiGuard实验室给出的2016年安全威胁预测中提到过,随着移动智能设备与人的关系越来越紧密,其上承载的数据价值也就越来越高,加之目前安卓系统仍然是全球领域占比最高的智能操作系统,2016年将会看到更多的安卓恶意软件,并且这些受感染的设备将会组成一个庞大的僵尸网络。
近期有一个安卓平台的恶意软件对抗反病毒软件的方式很有意思,因此引起了我们的注意。通过分析这个名为“Android Spywaller”的移动端恶意软件的代码发现,一旦该恶意软件成功感染安卓设备,它将会调用系统内嵌的iptable组件来创建防火墙策略阻止360反病毒和360手机卫士的网络流量。
从上图示意可以看出,不论反病毒软件是通过3G网络还是WiFi联网,都能够被此恶意软件调用生成的防火墙规则阻断。
虽然我们在PC端的反病毒工作中见过大量的恶意软件具备多种反病毒软件的免杀能力,但是在安卓平台使用这种调用系统正常安全功能来进行免杀的方式我们还是第一次见到。除此之外,此恶意软件还具备强大的抗诊断和混淆能力。
在第一次安装时,该恶意软件在界面上显示的名称为“Google Service”,安装包的名称为"com.schemedroid.apk"
一旦该安装包被成功安装在安卓设备上,该图标就会自动隐藏,并且不再出现在应用菜单中。但是几秒钟后会以用户身份请求Root权限。
由于图标被隐藏,因此用户并无法对该应用进行任何操作,但是恶意软件却能够利用这个应用进行很多的静默操作。比如窃取来自设备上的信息,包括地理位置、全部通话记录、使用设备相机软件拍摄的照片或视频,甚至能够监测到设备上SIM卡是否更换,然后将其上传到通用的服务器上。此外该应用还会收集QQ, 微信,新浪微博,腾讯微博,WhatsApp等等社交媒体数据。此外,该恶意软件还可以快速消耗安卓设备的电池电量,并且由于后台静默执行很多监控行为会影响设备的运行速度。
此恶意软件明显是针对中国市场暂时没有Google官方应用市场以及用户喜爱越狱这两点定制的攻击工具,因此针对于此,Fortinet给出如下建议:
1. 不要允许安装来源不明的应用程序。
2. 不要随意对应用程序的权限申请进行许可。
3. 如果设备电池耗电异常、过热、或者莫名速度变慢,请及时对手机进行安全检查。
4. 用户可以安装安卓版FortiClient终端安全软件进行恶意软件防御。
Fortinet FortiGuard实验室早在第一时间已经检测到该病毒,纳入FortiGuard 病毒库中(Android/Spywaller.A!tr.),并且通过Fortinet全球分布网络分发到我们的用户端。为了帮助用户应对日益增长的移动安全威胁,Fortinet公司2015年底发布了Mobile Security Service(移动安全服务),FortiGuard Labs 反病毒团队负责这个服务的支持工作,范围涵盖Apple iOS和Android平台的恶意软件。