Dvmap: Trojan εισάγει κακόβουλο κώδικα στα libraries του Android

android security

To Trojan Dvmap διανέμεται στο Android μέσω του Google Play και εκτός του ότι μπορεί να κάνει root στο κινητό του χρήστη, μπορεί να εισάγει κακόβουλο κώδικα στη βιβλιοθήκη του συστήματος.

Όπως αναφέρει ο Roman Unuchek της Kaspersky Lab, το Trojan Dvmap είναι ιδιαίτερα ασυνήθιστο καθώς όχι απλά αποκτά δικαιώματα πλήρους πρόσβασης (root) σε Android συσκευές, κάτι που συνηθίζεται από αρκετά κακόβουλα λογισμικά τελευταία, αλλά επειδή μπορεί να πάρει τον έλεγχο της συσκευής εισάγοντας κακόβουλο κώδικα στη βιβλιοθήκη του συστήματος.

Αν αυτό το καταφέρει, τότε μπορεί να διαγράψει την πλήρη πρόσβαση, πράγμα που βοηθά στην αποφυγή της ανίχνευσής του.

Η απόκτηση της δυνατότητας έγχυσης κώδικα είναι μια επικίνδυνη νέα εξέλιξη στο κακόβουλο λογισμικό για φορητές συσκευές. Δεδομένου ότι η προσέγγιση μπορεί να χρησιμοποιηθεί για την εκτέλεση κακόβουλων λειτουργιών, ακόμη και με τη διαγραφή της πλήρους πρόσβασης, οποιεσδήποτε λύσεις ασφάλειας και εφαρμογές τραπεζών με δυνατότητες πλήρους ανίχνευσης που έχουν εγκατασταθεί μετά τη «μόλυνση» δεν θα εντοπίσουν την παρουσία του κακόβουλου λογισμικού.

Όμως, η τροποποίηση των βιβλιοθηκών του συστήματος αποτελεί μια επικίνδυνη διαδικασία που η επιτυχία της δεν είναι εύκολη. Ο Roman Unuchek ανέφερε ότι οι ερευνητές παρατήρησαν ότι το κακόβουλο λογισμικό Dvmap παρακολουθεί και αναφέρει κάθε κίνηση του στον command and control server – παρόλο που ο command server δεν ανταποκρίθηκε με οδηγίες. Αυτό υποδηλώνει ότι το κακόβουλο λογισμικό δεν είναι ακόμη πλήρως έτοιμο ή εφαρμοσμένο και μπορεί αυτό να αποτελούσε μια δοκιμαστική φάση.

Το Dvmap διανέμεται ως παιχνίδι (colourblock) μέσω του Google Play Store. Οι δημιουργοί του, προκειμένου να παρακάμψουν τους ελέγχους ασφαλείας του καταστήματος, ανέβασαν πρώτα μια καθαρή έκδοση της εφαρμογής στα τέλη Μαρτίου του 2017. Στη συνέχεια, την αντικατέστησαν με μια κακόβουλη έκδοση για σύντομο χρονικό διάστημα, προτού ανεβάσουν ξανά μια άλλη καθαρή έκδοση.

Το Trojan Dvmap εγκαθίσταται στη συσκευή του θύματος σε δύο στάδια. Κατά τη διάρκεια της αρχικής φάσης, το κακόβουλο λογισμικό προσπαθεί να αποκτήσει πλήρη δικαιώματα (root) στη συσκευή. Αν το καταφέρει, εγκαθιστά μια σειρά εργαλείων, μερικά από τα οποία περιέχουν σχόλια στα κινέζικα. Μία από τις μονάδες αυτές είναι μια εφαρμογή, “com.qualcmm.timeservices”, η οποία συνδέει το Trojan με τον command and control server. Ωστόσο, κατά την περίοδο της έρευνας το κακόβουλο λογισμικό δεν έλαβε πίσω καμία εντολή.

Στην κύρια φάση της μόλυνσης, το Trojan ξεκινά ένα αρχείο “εκκίνησης”, ελέγχει την έκδοση του Android που βρίσκεται εγκατεστημένη και αποφασίζει σε ποια βιβλιοθήκη να εγχύσει τον κώδικά του. Το επόμενο βήμα: η αντικατάσταση του υφιστάμενου κώδικα με κακόβουλο κώδικα, η οποία μπορεί να προκαλέσει κρασάρισμα της μολυσμένης συσκευής. Ο R. Unucheck επίσης σχολιάζει τη δυνατότητα του malware να λειτουργεί και στην 64-bit έκδοση του Android που δεν συνηθίζεται.

Οι βιβλιοθήκες συστήματος που έχουν ενημερωθεί εκ νέου εκτελούν μια κακόβουλη λειτουργική ενότητα, η οποία μπορεί να απενεργοποιήσει τη λειτουργία “Πιστοποίηση Εφαρμογών”. Εν συνεχεία, ενεργοποιεί τη ρύθμιση “Άγνωστες πηγές”, η οποία της επιτρέπει να εγκαθιστά εφαρμογές από άλλα καταστήματα εκτός του Google Play Store. Έτσι, θα μπορούσε να εγκαταστήσει κακόβουλες ή ανεπιθύμητες διαφημιστικές εφαρμογές.

Η Kaspersky Lab ανέφερε το πρόβλημα στην Google κι έκτοτε το κακόβουλο λογισμικό αφαιρέθηκε από το Google Play, αλλά όχι πριν προλάβει να κατέβει 50.000 από τον Μάρτιο. Δεδομένου ότι ο αριθμός είναι σχετικά μικρός κι ότι το εν λόγω malware δεν είναι ολοκληρωμένο, είναι δύσκολο κάποιος να έχει μολυνθεί.

Ωστόσο, όσοι υποψιάζονται ότι μπορεί να έχουν μολυνθεί από το Dvmap συνίσταται να δημιουργούν αντίγραφα ασφαλείας των δεδομένων τους και να πραγματοποιούν επαναφορά εργοστασιακών δεδομένων.

Πηγή

ΣΥΖΗΤΗΣΗ

Παρακολουθήστε τα σχόλια
Να ειδοποιηθώ όταν
guest
7 Σχόλια
παλαιότερο
νεώτερο
Inline Feedbacks
View all comments
Chris_BMW

Αυτά ειναι .. μέσω του Google play..

James

“Το Dvmap διανέμεται ως παιχνίδι μέσω του Google Play Store.”

Γενικά και αόριστα ως παιχνίδι. Ποιο παιχνίδι; Να μην ξέρουμε και μεις σε περίπτωση που το έχουμε κατεβάσει;

bezilys

@James όντως θα μείνουμε με την απορία από τη βλέπω

bezilys

Μιλάμε τόσοι ώρα για ένα παιχνίδι που δεν υπάρχει πλέον στο playstore 😂😂😂

ΝΙΚΟΣ

Όλα για το Marketing , όλα για να πείσουμε πως το Android δεν είναι ασφαλές. Άρα τι μένει ;
IOS και ΆΓΙΟΣ Ο ΘΕΟΣ. Τι βολικό ε;

James

@ΝΙΚΟΣ απλά η κάθε Kaspersky βλέπει οτι τρώει πόρτα από τα windows σιγά σιγά και ψάχνει αλλού θύματα. Αν είχαν παρουσία και στο store της Apple θα έβρισκαν και εκεί θέματα ασφαλείας. Πάντα αυτό έκαναν, τρομοκρατούσαν τον κόσμο για σούπερ ιούς για να πουλήσουν καμιά συνδρομή.

ΔΙΑΒΑΣΤΕ ΕΠΙΣΗΣ

Internet MediaMarkt

MediaMarkt: Personal Video Shopping για 1η φορά στην Ελλάδα

Για 1η φορά στην Ελλάδα, μπορείτε να κάνετε τις αγορές σας σαν να είστε σε φυσικό κατάστημα από όπου κι αν βρίσκεστε.

Internet Tech Podcast

Tech Podcast: MWC 2021, NVIDIA RTX3050, PS5, Qualcomm, Tesla, Skroutz [S01E34 – 13/05/2021]

Σε αυτή την εκπομπή συζητάμε για τις απουσίες από την MWC 2021, τη νέα γενιά NVIDIA RTX 3050, τις δυσκολίες εύρεσης PS5 και το 2022, τις αλλαγές του Google Photos και για άλλα θέματα τεχνολογίας.

Internet Microsoft

To Microsoft Teams ξεκινά να φιλοξενεί πλέον και webinars

H Microsoft εμπλουτίζει το Teams με ολοένα και περισσότερα χαρακτηριστικά, όπως είναι η πρόσφατη προσθήκη των webinars.

Internet TikTok

Το TikTok φέρνει αγορές εντός της εφαρμογής στην Ευρώπη

Σε μία κίνηση που φαίνεται προσανατολισμένη προς τους Ευρωπαίους καταναλωτές, το TikTok ενισχύει τον εμπορικό του χαρακτήρα.