Dvmap: Trojan εισάγει κακόβουλο κώδικα στα libraries του Android

Android ιός, Dvmap: Trojan εισάγει κακόβουλο κώδικα στα libraries του Android

To Trojan Dvmap διανέμεται στο Android μέσω του Google Play και εκτός του ότι μπορεί να κάνει root στο κινητό του χρήστη, μπορεί να εισάγει κακόβουλο κώδικα στη βιβλιοθήκη του συστήματος.

Όπως αναφέρει ο Roman Unuchek της Kaspersky Lab, το Trojan Dvmap είναι ιδιαίτερα ασυνήθιστο καθώς όχι απλά αποκτά δικαιώματα πλήρους πρόσβασης (root) σε Android συσκευές, κάτι που συνηθίζεται από αρκετά κακόβουλα λογισμικά τελευταία, αλλά επειδή μπορεί να πάρει τον έλεγχο της συσκευής εισάγοντας κακόβουλο κώδικα στη βιβλιοθήκη του συστήματος.

Αν αυτό το καταφέρει, τότε μπορεί να διαγράψει την πλήρη πρόσβαση, πράγμα που βοηθά στην αποφυγή της ανίχνευσής του.

Η απόκτηση της δυνατότητας έγχυσης κώδικα είναι μια επικίνδυνη νέα εξέλιξη στο κακόβουλο λογισμικό για φορητές συσκευές. Δεδομένου ότι η προσέγγιση μπορεί να χρησιμοποιηθεί για την εκτέλεση κακόβουλων λειτουργιών, ακόμη και με τη διαγραφή της πλήρους πρόσβασης, οποιεσδήποτε λύσεις ασφάλειας και εφαρμογές τραπεζών με δυνατότητες πλήρους ανίχνευσης που έχουν εγκατασταθεί μετά τη «μόλυνση» δεν θα εντοπίσουν την παρουσία του κακόβουλου λογισμικού.

Όμως, η τροποποίηση των βιβλιοθηκών του συστήματος αποτελεί μια επικίνδυνη διαδικασία που η επιτυχία της δεν είναι εύκολη. Ο Roman Unuchek ανέφερε ότι οι ερευνητές παρατήρησαν ότι το κακόβουλο λογισμικό Dvmap παρακολουθεί και αναφέρει κάθε κίνηση του στον command and control server – παρόλο που ο command server δεν ανταποκρίθηκε με οδηγίες. Αυτό υποδηλώνει ότι το κακόβουλο λογισμικό δεν είναι ακόμη πλήρως έτοιμο ή εφαρμοσμένο και μπορεί αυτό να αποτελούσε μια δοκιμαστική φάση.

Το Dvmap διανέμεται ως παιχνίδι (colourblock) μέσω του Google Play Store. Οι δημιουργοί του, προκειμένου να παρακάμψουν τους ελέγχους ασφαλείας του καταστήματος, ανέβασαν πρώτα μια καθαρή έκδοση της εφαρμογής στα τέλη Μαρτίου του 2017. Στη συνέχεια, την αντικατέστησαν με μια κακόβουλη έκδοση για σύντομο χρονικό διάστημα, προτού ανεβάσουν ξανά μια άλλη καθαρή έκδοση.

Το Trojan Dvmap εγκαθίσταται στη συσκευή του θύματος σε δύο στάδια. Κατά τη διάρκεια της αρχικής φάσης, το κακόβουλο λογισμικό προσπαθεί να αποκτήσει πλήρη δικαιώματα (root) στη συσκευή. Αν το καταφέρει, εγκαθιστά μια σειρά εργαλείων, μερικά από τα οποία περιέχουν σχόλια στα κινέζικα. Μία από τις μονάδες αυτές είναι μια εφαρμογή, “com.qualcmm.timeservices”, η οποία συνδέει το Trojan με τον command and control server. Ωστόσο, κατά την περίοδο της έρευνας το κακόβουλο λογισμικό δεν έλαβε πίσω καμία εντολή.

Στην κύρια φάση της μόλυνσης, το Trojan ξεκινά ένα αρχείο “εκκίνησης”, ελέγχει την έκδοση του Android που βρίσκεται εγκατεστημένη και αποφασίζει σε ποια βιβλιοθήκη να εγχύσει τον κώδικά του. Το επόμενο βήμα: η αντικατάσταση του υφιστάμενου κώδικα με κακόβουλο κώδικα, η οποία μπορεί να προκαλέσει κρασάρισμα της μολυσμένης συσκευής. Ο R. Unucheck επίσης σχολιάζει τη δυνατότητα του malware να λειτουργεί και στην 64-bit έκδοση του Android που δεν συνηθίζεται.

Οι βιβλιοθήκες συστήματος που έχουν ενημερωθεί εκ νέου εκτελούν μια κακόβουλη λειτουργική ενότητα, η οποία μπορεί να απενεργοποιήσει τη λειτουργία “Πιστοποίηση Εφαρμογών”. Εν συνεχεία, ενεργοποιεί τη ρύθμιση “Άγνωστες πηγές”, η οποία της επιτρέπει να εγκαθιστά εφαρμογές από άλλα καταστήματα εκτός του Google Play Store. Έτσι, θα μπορούσε να εγκαταστήσει κακόβουλες ή ανεπιθύμητες διαφημιστικές εφαρμογές.

Η Kaspersky Lab ανέφερε το πρόβλημα στην Google κι έκτοτε το κακόβουλο λογισμικό αφαιρέθηκε από το Google Play, αλλά όχι πριν προλάβει να κατέβει 50.000 από τον Μάρτιο. Δεδομένου ότι ο αριθμός είναι σχετικά μικρός κι ότι το εν λόγω malware δεν είναι ολοκληρωμένο, είναι δύσκολο κάποιος να έχει μολυνθεί.

Ωστόσο, όσοι υποψιάζονται ότι μπορεί να έχουν μολυνθεί από το Dvmap συνίσταται να δημιουργούν αντίγραφα ασφαλείας των δεδομένων τους και να πραγματοποιούν επαναφορά εργοστασιακών δεδομένων.

Πηγή

ΣΥΖΗΤΗΣΗ

Παρακολουθήστε τα σχόλια
Να ειδοποιηθώ όταν
guest

7 Σχόλια
παλαιότερο
νεώτερο
Inline Feedbacks
View all comments
Chris_BMW

Αυτά ειναι .. μέσω του Google play..

James

“Το Dvmap διανέμεται ως παιχνίδι μέσω του Google Play Store.”

Γενικά και αόριστα ως παιχνίδι. Ποιο παιχνίδι; Να μην ξέρουμε και μεις σε περίπτωση που το έχουμε κατεβάσει;

bezilys

@James όντως θα μείνουμε με την απορία από τη βλέπω

bezilys

Μιλάμε τόσοι ώρα για ένα παιχνίδι που δεν υπάρχει πλέον στο playstore 😂😂😂

ΝΙΚΟΣ

Όλα για το Marketing , όλα για να πείσουμε πως το Android δεν είναι ασφαλές. Άρα τι μένει ;
IOS και ΆΓΙΟΣ Ο ΘΕΟΣ. Τι βολικό ε;

James

@ΝΙΚΟΣ απλά η κάθε Kaspersky βλέπει οτι τρώει πόρτα από τα windows σιγά σιγά και ψάχνει αλλού θύματα. Αν είχαν παρουσία και στο store της Apple θα έβρισκαν και εκεί θέματα ασφαλείας. Πάντα αυτό έκαναν, τρομοκρατούσαν τον κόσμο για σούπερ ιούς για να πουλήσουν καμιά συνδρομή.

ΔΙΑΒΑΣΤΕ ΕΠΙΣΗΣ

Software Android Google

Android Beta 13 Beta 3: Τρίτη έκδοση από τη Google με περισσότερα fixes

Mια τρίτη έκδοση για το Android 13 Beta 3 κυκλοφόρησε μέσα στο μήνα η Google προκειμένου να επιδιορθώσει όλα τα σφάλματα.

Software Android featured

Εφαρμογές που πρέπει να διαγράψετε αν έχετε Android

Κακόβουλα λογισμικά που εγκαθίστανται στις συσκευές Android δημιουργούν κινδύνους, όχι μόνο για το κινητό, αλλά και για το χρήστη.

Software Android featured Google

Android 13 Beta 3.2: Κυκλοφορεί με πραγματικά bug fixes

Ξεκίνησε η διανομή του Android 13 Beta 3.2 από τη Google, μιας ακόμα έκδοσης διόρθωσης σφαλμάτων πριν την τελική έκδοση του λογισμικού.

Software Android featured Google

Η Google κυκλοφορεί το Android 13 Beta 3

Από δω και πέρα περιμένουμε μια ακόμα beta τον επόμενο μήνα και στη συνέχεια θα κυκλοφορήσει η τελική έκδοση μέσα στο φθινόπωρο.