Κακόβουλο λογισμικό για συσκευές Android στο Google Play

Οι ειδικοί της Kaspersky Lab έχουν ανακαλύψει ένα ασυνήθιστο νέο Trojan που διανέμεται μέσω του Google Play Store. Το Trojan Dvmap είναι σε θέση όχι μόνο να αποκτά δικαιώματα πλήρους πρόσβασης (root access) σε Android smartphones, αλλά μπορεί επίσης να πάρει τον έλεγχο της συσκευής εισάγοντας κακόβουλο κώδικα στη βιβλιοθήκη του συστήματος. Εάν είναι επιτυχής, μπορεί στη συνέχεια να διαγράψει την πλήρη πρόσβαση, πράγμα που βοηθά στην αποφυγή της ανίχνευσής του. Το Trojan έχει «κατέβει» από το Google Play περισσότερες από 50.000 φορές από τον Μάρτιο του 2017. Η Kaspersky Lab ανέφερε το Trojan στην Google και έχει αφαιρεθεί πλέον από το κατάστημα.

dvmap

Το Dvmap διανέμεται ως παιχνίδι μέσω του Google Play Store. Για να παρακάμψουν τους ελέγχους ασφαλείας του καταστήματος, οι δημιουργοί του κακόβουλου λογισμικού «ανέβασαν» μια «καθαρή» εφαρμογή στο κατάστημα στα τέλη Μαρτίου του 2017. Στη συνέχεια, την ενημέρωσαν με μια κακόβουλη έκδοση για σύντομο χρονικό διάστημα, προτού «ανεβάσουν» μια άλλη καθαρή έκδοση. Eγκαθίσταται στη συσκευή του θύματος σε δύο στάδια. Κατά τη διάρκεια της αρχικής φάσης, το κακόβουλο λογισμικό προσπαθεί να αποκτήσει πλήρη δικαιώματα (root) στη συσκευή. Αν η προσπάθειά του αυτή στεφθεί με επιτυχία, θα εγκαταστήσει μια σειρά εργαλείων, μερικά από τα οποία περιέχουν σχόλια στην κινεζική γλώσσα. Μία από τις μονάδες αυτές είναι μια εφαρμογή, "com.qualcmm.timeservices", η οποία συνδέει το Trojan με τον command and control server. Ωστόσο, κατά την περίοδο της έρευνας το κακόβουλο λογισμικό δεν έλαβε πίσω καμία εντολή.

Στην κύρια φάση της «μόλυνσης», το Trojan ξεκινά ένα αρχείο "εκκίνησης", ελέγχει την έκδοση του Android που βρίσκεται εγκατεστημένη και αποφασίζει σε ποια βιβλιοθήκη να εγχύσει τον κώδικά του. Το επόμενο βήμα: η αντικατάσταση του υφιστάμενου κώδικα με κακόβουλο κώδικα, η οποία μπορεί να προκαλέσει κρασάρισμα της «μολυσμένης» συσκευής.

Οι βιβλιοθήκες συστήματος που έχουν ενημερωθεί εκ νέου εκτελούν μια κακόβουλη λειτουργική ενότητα, η οποία μπορεί να απενεργοποιήσει τη λειτουργία “Πιστοποίηση Εφαρμογών”. Στη συνέχεια, ενεργοποιεί τη ρύθμιση “Άγνωστες πηγές”, η οποία της επιτρέπει να εγκαθιστά εφαρμογές από οπουδήποτε και όχι μόνο από το Google Play Store. Αυτές θα μπορούσαν να είναι κακόβουλες ή ανεπιθύμητες διαφημιστικές εφαρμογές.

trojan android

«Το Trojan Dvmap σηματοδοτεί μια επικίνδυνη νέα εξέλιξη στο Android κακόβουλο λογισμικό, με τον κακόβουλο κώδικα να εισάγεται σε βιβλιοθήκες συστημάτων όπου είναι πιο δύσκολο να εντοπιστεί και να αφαιρεθεί. Οι χρήστες που δεν διαθέτουν την απαραίτητη ασφάλεια για να εντοπίσουν και να μπλοκάρουν την απειλή προτού αυτή εξαπλωθεί, θα δυσκολευτούν αρκετά. Πιστεύουμε ότι έχουμε αποκαλύψει το κακόβουλο λογισμικό σε πολύ πρώιμο στάδιο. Η ανάλυσή μας δείχνει ότι οι κακόβουλες ενότητες αναφέρουν κάθε κίνηση τους στους εισβολείς και ορισμένες τεχνικές μπορούν να σπάσουν τις «μολυσμένες» συσκευές. Ο χρόνος είναι ουσιαστικός όταν πρόκειται να αποτρέψουμε μια μαζική και επικίνδυνη επίθεση», δήλωσε ο Roman Unuchek, Senior Malware Analyst της Kaspersky Lab.

Στους ενδιαφερόμενους χρήστες που μπορεί να έχουν «μολυνθεί» από το Dvmap συνιστάται να δημιουργούν αντίγραφα ασφαλείας όλων των δεδομένων τους και να πραγματοποιούν επαναφορά εργοστασιακών δεδομένων. Επιπλέον, η Kaspersky Lab συμβουλεύει όλους τους χρήστες να εγκαταστήσουν στη συσκευή τους μια αξιόπιστη λύση ασφαλείας, όπως το Kaspersky Internet Security for Android, να ελέγχουν πάντοτε ότι οι εφαρμογές έχουν δημιουργηθεί από αξιόπιστο προγραμματιστή, να διατηρούν ενημερωμένα το λειτουργικό τους σύστημα και το λογισμικό εφαρμογών και να μην «κατεβάζουν» οτιδήποτε μοιάζει ύποπτο ή είναι αδύνατη η επαλήθευση της πηγής του.

dvmap trojan

 

Πηγή