Os especialistas da Kaspersky Lab descobriram um novo trojan no Google Play.

O Dvmap tem capacidade não só de obter os direitos de acesso ao root (administrador) num smartphone com um sistema operativo Android, como também pode, utilizando o centro de controlo do dispositivo, injetar um código malicioso na biblioteca do sistema. Se for bem-sucedido, pode remover o acesso root, o que ajuda a evitar a deteção. Desde março de 2017 que o trojan foi descarregado a partir do Google Play em mais de 50.000 situações. Depois de a Kaspersky Lab avisar a Google, o ficheiro foi eliminado da loja.

A capacidade de injeção do código é uma novidade muito perigosa no malware para dispositivos móveis. Como pode ser utilizado para executar ficheiros maliciosos, mesmo com o acesso root desligado, qualquer solução de segurança e qualquer aplicação bancária com elementos de deteção root que se instale após a infeção, não irão detetar a presença do malware.

No entanto, a modificação das bibliotecas do sistema é um processo arriscado que pode falhar. Os investigadores observaram que o malware Dvmap rastreia e informa o servidor de comando e controlo sobre cada um dos seus movimentos, incluindo aqueles em que o servidor não responde com nenhuma ordem. Isto mostra-nos que o malware não está funcional ou implementado na sua totalidade.

O Dvmap foi distribuído como um jogo através da loja Google Play. Para evitar as verificações de segurança da loja, no final de março de 2017, os criadores do malware lançaram uma versão limpa da aplicação. Depois atualizaram-na com uma versão maliciosa, e pouco tempo depois trocaram-na novamente para uma versão limpa. Em quatro semanas, o mesmo processo foi levado a cabo em pelo menos cinco situações.

O trojan Dvmap instala-se automaticamente no dispositivo da vítima em duas fases. Durante a fase inicial, o malware tenta estabelecer-se no dispositivo com acesso root. Se for bem-sucedido, instala uma série de ferramentas, algumas com comentários em chinês. Um destes módulos é uma aplicação, “com.qualcmm.timeservices”, que conecta o trojan ao seu servidor C&C.

Na principal fase de infeção, o trojan lança um ficheiro “start” que comprova a versão Android instalada e decide em que biblioteca será injetado o código. O passo seguinte consiste em rescrever o código com um código malicioso que pode levar o dispositivo infetado a falhar.

As bibliotecas afetadas executam um ficheiro malicioso que apaga a função “VerifyApps”, que conecta a configuração “Fontes desconhecidas” e que permite a instalação de aplicações a partir de qualquer lugar, e não apenas a partir do Google Play. Estas aplicações podem ser maliciosas ou de publicidade não solicitada.

“O trojan Dvmap coloca-nos perante um perigoso desenvolvimento do malware para Android, com um código malicioso que se introduz nas bibliotecas do sistema, onde é mais complicado de detetar e eliminar. Os utilizadores que não dispõe da segurança adequada para identificar e bloquear a ameaça antes que esta se inicie, vão encontrar-se numa situação muito difícil. Acreditamos ter identificado este malware numa fase de desenvolvimento inicial. O nosso relatório mostra que os ficheiros maliciosos informam os hackers de cada um dos seus movimentos, e algumas das técnicas podem chegar a destruir os dispositivos infetados. O tempo é essencial se queremos prevenir um ataque massivo e perigoso”, comentou Roman Unuchek, Investigador Sénior de malware na Kaspersky Lab.

Os utilizadores preocupados com uma possível infeção pelo Dvmap devem fazer cópias de segurança dos seus dados e levar a cabo uma reinstalação de fábrica.

Para além disso, a Kaspersky Lab aconselha que todos os utilizadores instalem no seu dispositivo uma solução de segurança fiável, como a Kaspersky Internet Security for Android, garantindo sempre que as aplicações foram desenvolvidas por um programador com boa reputação, mantendo atualizado o seu sistema operativo e o software das aplicações, e não descarregando nada que se aparente suspeito ou cujo origem não possa ser verificada.

A empresa russa destaca ainda que todos os produtos de Kaspersky Lab identificam esta ameaça como Trojan.AndroidOS.Dvmap.a e que podem ser obtidas mais informações sobre o trojan Dvmap no blog Securelist.com.

Classifique este item
(0 votos)
Ler 2688 vezes
Top