Dvmap: Trojan εισάγει κακόβουλο κώδικα στα libraries του Android

Android ιός, Dvmap: Trojan εισάγει κακόβουλο κώδικα στα libraries του Android

To Trojan Dvmap διανέμεται στο Android μέσω του Google Play και εκτός του ότι μπορεί να κάνει root στο κινητό του χρήστη, μπορεί να εισάγει κακόβουλο κώδικα στη βιβλιοθήκη του συστήματος.

Όπως αναφέρει ο Roman Unuchek της Kaspersky Lab, το Trojan Dvmap είναι ιδιαίτερα ασυνήθιστο καθώς όχι απλά αποκτά δικαιώματα πλήρους πρόσβασης (root) σε Android συσκευές, κάτι που συνηθίζεται από αρκετά κακόβουλα λογισμικά τελευταία, αλλά επειδή μπορεί να πάρει τον έλεγχο της συσκευής εισάγοντας κακόβουλο κώδικα στη βιβλιοθήκη του συστήματος.

Αν αυτό το καταφέρει, τότε μπορεί να διαγράψει την πλήρη πρόσβαση, πράγμα που βοηθά στην αποφυγή της ανίχνευσής του.

Η απόκτηση της δυνατότητας έγχυσης κώδικα είναι μια επικίνδυνη νέα εξέλιξη στο κακόβουλο λογισμικό για φορητές συσκευές. Δεδομένου ότι η προσέγγιση μπορεί να χρησιμοποιηθεί για την εκτέλεση κακόβουλων λειτουργιών, ακόμη και με τη διαγραφή της πλήρους πρόσβασης, οποιεσδήποτε λύσεις ασφάλειας και εφαρμογές τραπεζών με δυνατότητες πλήρους ανίχνευσης που έχουν εγκατασταθεί μετά τη «μόλυνση» δεν θα εντοπίσουν την παρουσία του κακόβουλου λογισμικού.

Όμως, η τροποποίηση των βιβλιοθηκών του συστήματος αποτελεί μια επικίνδυνη διαδικασία που η επιτυχία της δεν είναι εύκολη. Ο Roman Unuchek ανέφερε ότι οι ερευνητές παρατήρησαν ότι το κακόβουλο λογισμικό Dvmap παρακολουθεί και αναφέρει κάθε κίνηση του στον command and control server – παρόλο που ο command server δεν ανταποκρίθηκε με οδηγίες. Αυτό υποδηλώνει ότι το κακόβουλο λογισμικό δεν είναι ακόμη πλήρως έτοιμο ή εφαρμοσμένο και μπορεί αυτό να αποτελούσε μια δοκιμαστική φάση.

Το Dvmap διανέμεται ως παιχνίδι (colourblock) μέσω του Google Play Store. Οι δημιουργοί του, προκειμένου να παρακάμψουν τους ελέγχους ασφαλείας του καταστήματος, ανέβασαν πρώτα μια καθαρή έκδοση της εφαρμογής στα τέλη Μαρτίου του 2017. Στη συνέχεια, την αντικατέστησαν με μια κακόβουλη έκδοση για σύντομο χρονικό διάστημα, προτού ανεβάσουν ξανά μια άλλη καθαρή έκδοση.

Το Trojan Dvmap εγκαθίσταται στη συσκευή του θύματος σε δύο στάδια. Κατά τη διάρκεια της αρχικής φάσης, το κακόβουλο λογισμικό προσπαθεί να αποκτήσει πλήρη δικαιώματα (root) στη συσκευή. Αν το καταφέρει, εγκαθιστά μια σειρά εργαλείων, μερικά από τα οποία περιέχουν σχόλια στα κινέζικα. Μία από τις μονάδες αυτές είναι μια εφαρμογή, “com.qualcmm.timeservices”, η οποία συνδέει το Trojan με τον command and control server. Ωστόσο, κατά την περίοδο της έρευνας το κακόβουλο λογισμικό δεν έλαβε πίσω καμία εντολή.

Στην κύρια φάση της μόλυνσης, το Trojan ξεκινά ένα αρχείο “εκκίνησης”, ελέγχει την έκδοση του Android που βρίσκεται εγκατεστημένη και αποφασίζει σε ποια βιβλιοθήκη να εγχύσει τον κώδικά του. Το επόμενο βήμα: η αντικατάσταση του υφιστάμενου κώδικα με κακόβουλο κώδικα, η οποία μπορεί να προκαλέσει κρασάρισμα της μολυσμένης συσκευής. Ο R. Unucheck επίσης σχολιάζει τη δυνατότητα του malware να λειτουργεί και στην 64-bit έκδοση του Android που δεν συνηθίζεται.

Οι βιβλιοθήκες συστήματος που έχουν ενημερωθεί εκ νέου εκτελούν μια κακόβουλη λειτουργική ενότητα, η οποία μπορεί να απενεργοποιήσει τη λειτουργία “Πιστοποίηση Εφαρμογών”. Εν συνεχεία, ενεργοποιεί τη ρύθμιση “Άγνωστες πηγές”, η οποία της επιτρέπει να εγκαθιστά εφαρμογές από άλλα καταστήματα εκτός του Google Play Store. Έτσι, θα μπορούσε να εγκαταστήσει κακόβουλες ή ανεπιθύμητες διαφημιστικές εφαρμογές.

Η Kaspersky Lab ανέφερε το πρόβλημα στην Google κι έκτοτε το κακόβουλο λογισμικό αφαιρέθηκε από το Google Play, αλλά όχι πριν προλάβει να κατέβει 50.000 από τον Μάρτιο. Δεδομένου ότι ο αριθμός είναι σχετικά μικρός κι ότι το εν λόγω malware δεν είναι ολοκληρωμένο, είναι δύσκολο κάποιος να έχει μολυνθεί.

Ωστόσο, όσοι υποψιάζονται ότι μπορεί να έχουν μολυνθεί από το Dvmap συνίσταται να δημιουργούν αντίγραφα ασφαλείας των δεδομένων τους και να πραγματοποιούν επαναφορά εργοστασιακών δεδομένων.

Πηγή

ΣΥΖΗΤΗΣΗ

Παρακολουθήστε τα σχόλια
Να ειδοποιηθώ όταν
guest

7 Σχόλια
παλαιότερο
νεώτερο
Inline Feedbacks
View all comments
Chris_BMW

Αυτά ειναι .. μέσω του Google play..

James

“Το Dvmap διανέμεται ως παιχνίδι μέσω του Google Play Store.”

Γενικά και αόριστα ως παιχνίδι. Ποιο παιχνίδι; Να μην ξέρουμε και μεις σε περίπτωση που το έχουμε κατεβάσει;

bezilys

@James όντως θα μείνουμε με την απορία από τη βλέπω

bezilys

Μιλάμε τόσοι ώρα για ένα παιχνίδι που δεν υπάρχει πλέον στο playstore 😂😂😂

ΝΙΚΟΣ

Όλα για το Marketing , όλα για να πείσουμε πως το Android δεν είναι ασφαλές. Άρα τι μένει ;
IOS και ΆΓΙΟΣ Ο ΘΕΟΣ. Τι βολικό ε;

James

@ΝΙΚΟΣ απλά η κάθε Kaspersky βλέπει οτι τρώει πόρτα από τα windows σιγά σιγά και ψάχνει αλλού θύματα. Αν είχαν παρουσία και στο store της Apple θα έβρισκαν και εκεί θέματα ασφαλείας. Πάντα αυτό έκαναν, τρομοκρατούσαν τον κόσμο για σούπερ ιούς για να πουλήσουν καμιά συνδρομή.

ΔΙΑΒΑΣΤΕ ΕΠΙΣΗΣ

Software Android WhatsApp

WhatsApp: Θα μπορείτε να στέλνετε αυτόματα πολυμέσα HD

Το WhatsApp παρουσίασε μια λειτουργία τον Αύγουστο που σας επιτρέπει να στέλνετε φωτογραφίες σε υψηλότερη ποιότητα.

Software Android iOS

Epic Games Store: Έρχεται σε iOS και Android αργότερα φέτος

Η Epic Games επιβεβαίωσε ότι το Games Store της θα κυκλοφορήσει τόσο σε iOS όσο και σε Android αργότερα φέτος.

Software Android Google Google Pixel

Find My Device της Google: Με Android 15, θα βρίσκεις τo Pixel σου ακόμα και όταν είναι κλειστό

Το δίκτυο Find My Device της Google θα δώσει την ευκαιρία στους χρήστες Android να έχουν ένα δίκτυο παρακολούθησης χαμένων συσκευών.

Software Android Twitter

Το X προετοιμάζει την υποστήριξη passkey στο Android

To X φέρεται να εργάζεται για να φέρει υποστήριξη για passkeys στην εφαρμογή Android της, μετά την κυκλοφορία του iOS.