Onderzoekers hebben Android-malware ontdekt die een bekende firewall gebruikt om een eventuele virusscanner op het toestel te blokkeren. Het gaat om Android-malware genaamd 'Spywaller' die buiten Google Play om in China wordt aangeboden en zich voordoet als een 'Google Service' app.
Zodra gebruikers de app downloaden en openen probeert die het toestel te rooten. Vervolgens controleert de malware of de mobiele virusscanner van het Chinese anti-virusbedrijf Qihoo op het toestel aanwezig is. De virusscanner is vrij populair in China, aldus Symantec dat de malware analyseerde. In het geval de virusscanner aanwezig is, downloadt Spywaller het programma DroidWall. Dit is een opensource-Androidfirewall die in 2011 door anti-virusbedrijf Avast werd overgenomen. De code van DroidWall is nog steeds op internet te vinden.
Eenmaal actief blokkeert de firewall de virusscanner van Qihoo. Spywaller heeft als doel om allerlei gegevens van het toestel te verzamelen, zoals gespreksgegevens, e-mails, surfgeschiedenis en data uit allerlei apps waaronder Skype en WhatsApp, en die naar de aanvallers door te sturen. Volgens Symantec is de malware op Chinese gebruikers gericht en valt het aantal infecties mee. Toch is het een interessante dreiging omdat het een legitieme tool voor malafide doeleinden gebruikt, zo stelt de virusbestrijder.
Deze posting is gelocked. Reageren is niet meer mogelijk.