Dvmap Trojan: Kaspersky Lab experts have discovered an unusual new Trojan distributed through Google Play Store. Trojan Dvmap is not only able to gain full access rights (root access) on Android smartphones, but can also take control of the device by entering malicious code into the system library. If successful, it can then delete full access, which helps prevent detection.U.
The Trojan has "fired" from Google Play more than 50.000 times since March of 2017. Kaspersky Lab reported the Trojan to Google and has now been removed from the store.
Η απόκτηση της δυνατότητας έγχυσης κώδικα είναι μια επικίνδυνη νέα εξέλιξη στο κακόβουλο software για φορητές συσκευές. Δεδομένου ότι η προσέγγιση μπορεί να χρησιμοποιηθεί για την εκτέλεση κακόβουλων λειτουργιών, ακόμη και με τη διαγραφή της πλήρους πρόσβασης, οποιεσδήποτε λύσεις ασφάλειας και εφαρμογές τραπεζών με δυνατότητες πλήρους ανίχνευσης που έχουν εγκατασταθεί μετά τη «μόλυνση» δεν θα εντοπίσουν την παρουσία του κακόβουλου λογισμικού.
Ωστόσο, η τροποποίηση των βιβλιοθηκών του συστήματος είναι μια επικίνδυνη διαδικασία που μπορεί να αποτύχει. Οι ερευνητές παρατήρησαν ότι το κακόβουλο λογισμικό Dvmap παρακολουθεί και αναφέρει κάθε κίνηση του στον command and control server - παρόλο που ο command server δεν ανταποκρίθηκε με οδηγίες. Αυτό υποδηλώνει ότι το κακόβουλο λογισμικό δεν είναι ακόμη πλήρως έτοιμο ή εφαρμοσμένο.
Dvmap is distributed as a game through the Google Play Store. To bypass the store's security controls, the malware's creators "uploaded" a "pure" application on the store at the end of March 2017. They then updated it with a malicious version for a short time before "uploading" another clean version. Over the course of four weeks, they performed this procedure at least five times.
Το Trojan Dvmap εγκαθίσταται στη συσκευή του θύματος σε δύο στάδια. Κατά τη διάρκεια της αρχικής φάσης, το κακόβουλο λογισμικό προσπαθεί να αποκτήσει πλήρη δικαιώματα (root) στη συσκευή. Αν η προσπάθειά του αυτή στεφθεί με επιτυχία, θα εγκαταστήσει μια σειρά εργαλείων, μερικά από τα οποία περιέχουν σχόλια στην κινεζική γλώσσα. Μία από τις μονάδες αυτές είναι μια εφαρμογή, "com.qualcmm.timeservices", η οποία συνδέει το Trojan με τον command and control server. Ωστόσο, κατά την περίοδο της έρευνας το κακόβουλο λογισμικό δεν έλαβε πίσω καμία εντολή.
Στην κύρια φάση της «μόλυνσης», το Trojan ξεκινά ένα αρχείο "εκκίνησης", ελέγχει την έκδοση του Android που βρίσκεται εγκατεστημένη και αποφασίζει σε ποια βιβλιοθήκη να εγχύσει τον κώδικά του. Το επόμενο βήμα: η αντικατάσταση του υφιστάμενου κώδικα με κακόβουλο κώδικα, η οποία μπορεί να προκαλέσει κρασάρισμα της «μολυσμένης» συσκευής.
Re-updated system libraries perform a malicious module that can disable the "Application Certification" feature. It then opens the "Unknown Sources" setting, which allows it to install apps from anywhere, not just from the Google Play Store. These could be malicious or unwanted advertising applications.
"Trojan Dvmap marks a dangerous new development in Android malicious software, with malicious code being introduced into system libraries where it is more difficult to locate and remove. Users who do not have the security to locate and block the threat before it spreads will suffer a lot. We believe we have uncovered malicious software at a very early stage. Our analysis shows that the malicious sections report every move to the intruders and some techniques can break the 'infected' devices. Time is essential when it comes to preventing a massive and dangerous attack, "said Roman Unuchek, Kaspersky Lab's Senior Malware Analyst.
Concerned users who may have been "infected" by Dvmap are advised to create backups of all their data and perform a factory data reset. In addition, Kaspersky Lab advises all users to always check that applications are created by a trusted developer, keep their operating system and application software up-to-date, and not "download" anything that looks suspicious or whose source cannot be verified.
All Kaspersky Lab products detect the Trojan as Trojan.AndroidOS.Dvmap.a.
