Dvmap: Trojan εισάγει κακόβουλο κώδικα στα libraries του Android

To Trojan Dvmap διανέμεται στο Android μέσω του Google Play και εκτός του ότι μπορεί να κάνει root στο κινητό του χρήστη, μπορεί να εισάγει κακόβουλο κώδικα στη βιβλιοθήκη του συστήματος.

Όπως αναφέρει ο Roman Unuchek της Kaspersky Lab, το Trojan Dvmap είναι ιδιαίτερα ασυνήθιστο καθώς όχι απλά αποκτά δικαιώματα πλήρους πρόσβασης (root) σε Android συσκευές, κάτι που συνηθίζεται από αρκετά κακόβουλα λογισμικά τελευταία, αλλά επειδή μπορεί να πάρει τον έλεγχο της συσκευής εισάγοντας κακόβουλο κώδικα στη βιβλιοθήκη του συστήματος.

Αν αυτό το καταφέρει, τότε μπορεί να διαγράψει την πλήρη πρόσβαση, πράγμα που βοηθά στην αποφυγή της ανίχνευσής του.

Η απόκτηση της δυνατότητας έγχυσης κώδικα είναι μια επικίνδυνη νέα εξέλιξη στο κακόβουλο λογισμικό για φορητές συσκευές. Δεδομένου ότι η προσέγγιση μπορεί να χρησιμοποιηθεί για την εκτέλεση κακόβουλων λειτουργιών, ακόμη και με τη διαγραφή της πλήρους πρόσβασης, οποιεσδήποτε λύσεις ασφάλειας και εφαρμογές τραπεζών με δυνατότητες πλήρους ανίχνευσης που έχουν εγκατασταθεί μετά τη «μόλυνση» δεν θα εντοπίσουν την παρουσία του κακόβουλου λογισμικού.

Όμως, η τροποποίηση των βιβλιοθηκών του συστήματος αποτελεί μια επικίνδυνη διαδικασία που η επιτυχία της δεν είναι εύκολη. Ο Roman Unuchek ανέφερε ότι οι ερευνητές παρατήρησαν ότι το κακόβουλο λογισμικό Dvmap παρακολουθεί και αναφέρει κάθε κίνηση του στον command and control server – παρόλο που ο command server δεν ανταποκρίθηκε με οδηγίες. Αυτό υποδηλώνει ότι το κακόβουλο λογισμικό δεν είναι ακόμη πλήρως έτοιμο ή εφαρμοσμένο και μπορεί αυτό να αποτελούσε μια δοκιμαστική φάση.

Το Dvmap διανέμεται ως παιχνίδι (colourblock) μέσω του Google Play Store. Οι δημιουργοί του, προκειμένου να παρακάμψουν τους ελέγχους ασφαλείας του καταστήματος, ανέβασαν πρώτα μια καθαρή έκδοση της εφαρμογής στα τέλη Μαρτίου του 2017. Στη συνέχεια, την αντικατέστησαν με μια κακόβουλη έκδοση για σύντομο χρονικό διάστημα, προτού ανεβάσουν ξανά μια άλλη καθαρή έκδοση.

Το Trojan Dvmap εγκαθίσταται στη συσκευή του θύματος σε δύο στάδια. Κατά τη διάρκεια της αρχικής φάσης, το κακόβουλο λογισμικό προσπαθεί να αποκτήσει πλήρη δικαιώματα (root) στη συσκευή. Αν το καταφέρει, εγκαθιστά μια σειρά εργαλείων, μερικά από τα οποία περιέχουν σχόλια στα κινέζικα. Μία από τις μονάδες αυτές είναι μια εφαρμογή, “com.qualcmm.timeservices”, η οποία συνδέει το Trojan με τον command and control server. Ωστόσο, κατά την περίοδο της έρευνας το κακόβουλο λογισμικό δεν έλαβε πίσω καμία εντολή.

Στην κύρια φάση της μόλυνσης, το Trojan ξεκινά ένα αρχείο “εκκίνησης”, ελέγχει την έκδοση του Android που βρίσκεται εγκατεστημένη και αποφασίζει σε ποια βιβλιοθήκη να εγχύσει τον κώδικά του. Το επόμενο βήμα: η αντικατάσταση του υφιστάμενου κώδικα με κακόβουλο κώδικα, η οποία μπορεί να προκαλέσει κρασάρισμα της μολυσμένης συσκευής. Ο R. Unucheck επίσης σχολιάζει τη δυνατότητα του malware να λειτουργεί και στην 64-bit έκδοση του Android που δεν συνηθίζεται.

Οι βιβλιοθήκες συστήματος που έχουν ενημερωθεί εκ νέου εκτελούν μια κακόβουλη λειτουργική ενότητα, η οποία μπορεί να απενεργοποιήσει τη λειτουργία “Πιστοποίηση Εφαρμογών”. Εν συνεχεία, ενεργοποιεί τη ρύθμιση “Άγνωστες πηγές”, η οποία της επιτρέπει να εγκαθιστά εφαρμογές από άλλα καταστήματα εκτός του Google Play Store. Έτσι, θα μπορούσε να εγκαταστήσει κακόβουλες ή ανεπιθύμητες διαφημιστικές εφαρμογές.

Η Kaspersky Lab ανέφερε το πρόβλημα στην Google κι έκτοτε το κακόβουλο λογισμικό αφαιρέθηκε από το Google Play, αλλά όχι πριν προλάβει να κατέβει 50.000 από τον Μάρτιο. Δεδομένου ότι ο αριθμός είναι σχετικά μικρός κι ότι το εν λόγω malware δεν είναι ολοκληρωμένο, είναι δύσκολο κάποιος να έχει μολυνθεί.

Ωστόσο, όσοι υποψιάζονται ότι μπορεί να έχουν μολυνθεί από το Dvmap συνίσταται να δημιουργούν αντίγραφα ασφαλείας των δεδομένων τους και να πραγματοποιούν επαναφορά εργοστασιακών δεδομένων.

Πηγή