攻防雙方一直在不斷角力，靠著對(duì)方的刺激在不斷成長(zhǎng)。當(dāng)反病毒戰(zhàn)士們?cè)诮g盡腦汁研究如何提升哪怕1%的檢出率時(shí)，處在黑暗中的惡意軟件作者也在研究怎么能夠繞過(guò)防御檢測(cè)機(jī)制。隨著智能移動(dòng)設(shè)備數(shù)量的激增，以及計(jì)算、存儲(chǔ)和傳輸能力的不斷加強(qiáng)，越來(lái)越多的移動(dòng)端惡意軟件流傳出來(lái)。但是很多的傳統(tǒng)反病毒還是將目光集中在PC端，而忽略了移動(dòng)端這一更大的戰(zhàn)場(chǎng)。

在Fortinet FortiGuard實(shí)驗(yàn)室給出的2016年安全威脅預(yù)測(cè)中提到過(guò)，隨著移動(dòng)智能設(shè)備與人的關(guān)系越來(lái)越緊密，其上承載的數(shù)據(jù)價(jià)值也就越來(lái)越高，加之目前安卓系統(tǒng)仍然是全球領(lǐng)域占比最高的智能操作系統(tǒng)，2016年將會(huì)看到更多的安卓惡意軟件，并且這些受感染的設(shè)備將會(huì)組成一個(gè)龐大的僵尸網(wǎng)絡(luò)。

近期有一個(gè)安卓平臺(tái)的惡意軟件對(duì)抗反病毒軟件的方式很有意思，因此引起了我們的注意。通過(guò)分析這個(gè)名為“Android Spywaller”的移動(dòng)端惡意軟件的代碼發(fā)現(xiàn)，一旦該惡意軟件成功感染安卓設(shè)備，它將會(huì)調(diào)用系統(tǒng)內(nèi)嵌的iptable組件來(lái)創(chuàng)建防火墻策略阻止360反病毒和360手機(jī)衛(wèi)士的網(wǎng)絡(luò)流量。

從上圖示意可以看出，不論反病毒軟件是通過(guò)3G網(wǎng)絡(luò)還是WiFi聯(lián)網(wǎng)，都能夠被此惡意軟件調(diào)用生成的防火墻規(guī)則阻斷。

雖然我們?cè)赑C端的反病毒工作中見(jiàn)過(guò)大量的惡意軟件具備多種反病毒軟件的免殺能力，但是在安卓平臺(tái)使用這種調(diào)用系統(tǒng)正常安全功能來(lái)進(jìn)行免殺的方式我們還是第一次見(jiàn)到。除此之外，此惡意軟件還具備強(qiáng)大的抗診斷和混淆能力。

在第一次安裝時(shí)，該惡意軟件在界面上顯示的名稱(chēng)為“Google Service”，安裝包的名稱(chēng)為"com.schemedroid.apk"

一旦該安裝包被成功安裝在安卓設(shè)備上，該圖標(biāo)就會(huì)自動(dòng)隱藏，并且不再出現(xiàn)在應(yīng)用菜單中。但是幾秒鐘后會(huì)以用戶(hù)身份請(qǐng)求Root權(quán)限。

由于圖標(biāo)被隱藏，因此用戶(hù)并無(wú)法對(duì)該應(yīng)用進(jìn)行任何操作，但是惡意軟件卻能夠利用這個(gè)應(yīng)用進(jìn)行很多的靜默操作。比如竊取來(lái)自設(shè)備上的信息，包括地理位置、全部通話(huà)記錄、使用設(shè)備相機(jī)軟件拍攝的照片或視頻，甚至能夠監(jiān)測(cè)到設(shè)備上SIM卡是否更換，然后將其上傳到通用的服務(wù)器上。此外該應(yīng)用還會(huì)收集QQ, 微信，新浪微博，騰訊微博，WhatsApp等等社交媒體數(shù)據(jù)。此外，該惡意軟件還可以快速消耗安卓設(shè)備的電池電量，并且由于后臺(tái)靜默執(zhí)行很多監(jiān)控行為會(huì)影響設(shè)備的運(yùn)行速度。

此惡意軟件明顯是針對(duì)中國(guó)市場(chǎng)暫時(shí)沒(méi)有Google官方應(yīng)用市場(chǎng)以及用戶(hù)喜愛(ài)越獄這兩點(diǎn)定制的攻擊工具，因此針對(duì)于此，F(xiàn)ortinet給出如下建議：

1. 不要允許安裝來(lái)源不明的應(yīng)用程序。

2. 不要隨意對(duì)應(yīng)用程序的權(quán)限申請(qǐng)進(jìn)行許可。

3. 如果設(shè)備電池耗電異常、過(guò)熱、或者莫名速度變慢，請(qǐng)及時(shí)對(duì)手機(jī)進(jìn)行安全檢查。

4. 用戶(hù)可以安裝安卓版FortiClient終端安全軟件進(jìn)行惡意軟件防御。

Fortinet FortiGuard實(shí)驗(yàn)室早在第一時(shí)間已經(jīng)檢測(cè)到該病毒，納入FortiGuard 病毒庫(kù)中（Android/Spywaller.A!tr.），并且通過(guò)Fortinet全球分布網(wǎng)絡(luò)分發(fā)到我們的用戶(hù)端。為了幫助用戶(hù)應(yīng)對(duì)日益增長(zhǎng)的移動(dòng)安全威脅，F(xiàn)ortinet公司2015年底發(fā)布了Mobile Security Service（移動(dòng)安全服務(wù)），F(xiàn)ortiGuard Labs 反病毒團(tuán)隊(duì)負(fù)責(zé)這個(gè)服務(wù)的支持工作，范圍涵蓋Apple iOS和Android平臺(tái)的惡意軟件。