Distribuído pelo Google Play, malware para Android usa nova técnica para controlar dispositivos
Especialistas da Kaspersky Lab descobriram um novo cavalo de Troia incomum, distribuído pela Google Play Store. Além de obter direitos de acesso à raiz em smartphones Android, o cavalo de Troia Dvmap também é capaz de assumir o controle do dispositivo, injetando código malicioso na biblioteca do sistema. Quando bem-sucedido, pode então excluir o acesso à raiz, o que ajuda a evitar a detecção. O cavalo de Troia foi baixado mais de 50 mil vezes no Google Play desde março de 2017. A Kaspersky Lab reportou o trojan ao Google, que já foi removido da loja.
A introdução da funcionalidade de injeção de código é uma nova evolução perigosa dos malwares para dispositivos móveis. Esse método pode ser usado para executar módulos maliciosos mesmo depois de eliminar o acesso à raiz e, assim, as soluções de segurança e os aplicativos de bancos com recursos de detecção instalados após a infecção não conseguirão identificar a presença do malware.
No entanto, a modificação das bibliotecas do sistema é um processo arriscado, que pode não atingir seus objetivos. Os pesquisadores observaram que o malware Dvmap rastreia e registra cada movimento até o servidor de comando e controle, ainda que o servidor de comando não responda com instruções. Isso sugere que o malware ainda não está totalmente pronto ou implementado.
O Dvmap é distribuído na Google Play Store como um jogo. Para burlar as verificações de segurança da loja, os desenvolvedores do malware carregaram um aplicativo limpo na loja no final de março de 2017. Depois, atualizaram esse aplicativo com uma versão maliciosa, que durou um curto período, antes do carregamento de outra versão limpa. No espaço de quatro semanas, isso foi feito pelo menos cinco vezes.
A instalação do cavalo de Troia Dvmap no dispositivo da vítima ocorre em dois estágios. Na fase inicial, o malware tenta obter direitos de acesso à raiz do dispositivo. Quando consegue, ele instala diversas ferramentas; algumas incluem comentários em chinês. Um desses módulos é um aplicativo, “com.qualcmm.timeservices”, que conecta o cavalo de Troia a seu servidor de comando e controle. Porém, durante toda a investigação, o malware não recebeu nenhum comando de volta.
Na fase principal da infecção, o cavalo de Troia executa um arquivo “inicial”, verifica a versão do Android instalada e decide em qual biblioteca vai injetar seu código. Na etapa seguinte, o código existente é substituído pelo código malicioso, o que pode fazer o dispositivo infectado travar.
As bibliotecas do sistema recém-corrigidas executam um módulo malicioso capaz de desativar o recurso ‘VerifyApps’ (Verificação de aplicativos). Em seguida, ele ativa a configuração ‘Unknown sources’ (Fontes desconhecidas), permitindo a instalação de aplicativos de qualquer origem, não apenas da Google Play Store. Esses aplicativos podem incluir programas maliciosos ou de publicidade não solicitada.
“O cavalo de Troia Dvmap representa uma nova evolução perigosa dos malwares para Android, em que o código malicioso se injeta nas bibliotecas do sistema, onde é mais difícil detectá-lo e removê-lo. Os usuários que não têm uma solução de segurança para identificar e bloquear a ameaça antes dessa invasão terão problemas graves. Acreditamos ter descoberto esse malware em um estágio bastante precoce. Nossa análise mostra que os módulos maliciosos informam cada movimento aos invasores, e existem técnicas capazes de violar os dispositivos infectados. A rapidez é essencial para evitar um ataque massivo e perigoso”, declarou Roman Unuchek, analista sênior de malware da Kaspersky Lab.
Os usuários que suspeitam ter sido infectados pelo Dvmap devem fazer backup de todos os seus dados e executar uma restauração dos dados de fábrica. Além disso, a Kaspersky Lab recomenda que todos os usuários instalem em seus dispositivos uma solução de segurança confiável, como o Kaspersky Internet Security for Android, sempre verifiquem se os aplicativos foram criados por um desenvolvedor respeitável, mantenham o software do sistema operacional e dos aplicativos atualizado e não baixem nada que pareça minimamente suspeito ou cuja origem não possa ser confirmada.
Para saber mais sobre o cavalo de Troia Dvmap, leia a postagem no blog em Securelist.com.
Todos os produtos da Kaspersky Lab detectam esse cavalo de Troia como Trojan.AndroidOS.Dvmap.a.
A introdução da funcionalidade de injeção de código é uma nova evolução perigosa dos malwares para dispositivos móveis. Esse método pode ser usado para executar módulos maliciosos mesmo depois de eliminar o acesso à raiz e, assim, as soluções de segurança e os aplicativos de bancos com recursos de detecção instalados após a infecção não conseguirão identificar a presença do malware.
No entanto, a modificação das bibliotecas do sistema é um processo arriscado, que pode não atingir seus objetivos. Os pesquisadores observaram que o malware Dvmap rastreia e registra cada movimento até o servidor de comando e controle, ainda que o servidor de comando não responda com instruções. Isso sugere que o malware ainda não está totalmente pronto ou implementado.
O Dvmap é distribuído na Google Play Store como um jogo. Para burlar as verificações de segurança da loja, os desenvolvedores do malware carregaram um aplicativo limpo na loja no final de março de 2017. Depois, atualizaram esse aplicativo com uma versão maliciosa, que durou um curto período, antes do carregamento de outra versão limpa. No espaço de quatro semanas, isso foi feito pelo menos cinco vezes.
A instalação do cavalo de Troia Dvmap no dispositivo da vítima ocorre em dois estágios. Na fase inicial, o malware tenta obter direitos de acesso à raiz do dispositivo. Quando consegue, ele instala diversas ferramentas; algumas incluem comentários em chinês. Um desses módulos é um aplicativo, “com.qualcmm.timeservices”, que conecta o cavalo de Troia a seu servidor de comando e controle. Porém, durante toda a investigação, o malware não recebeu nenhum comando de volta.
Na fase principal da infecção, o cavalo de Troia executa um arquivo “inicial”, verifica a versão do Android instalada e decide em qual biblioteca vai injetar seu código. Na etapa seguinte, o código existente é substituído pelo código malicioso, o que pode fazer o dispositivo infectado travar.
As bibliotecas do sistema recém-corrigidas executam um módulo malicioso capaz de desativar o recurso ‘VerifyApps’ (Verificação de aplicativos). Em seguida, ele ativa a configuração ‘Unknown sources’ (Fontes desconhecidas), permitindo a instalação de aplicativos de qualquer origem, não apenas da Google Play Store. Esses aplicativos podem incluir programas maliciosos ou de publicidade não solicitada.
“O cavalo de Troia Dvmap representa uma nova evolução perigosa dos malwares para Android, em que o código malicioso se injeta nas bibliotecas do sistema, onde é mais difícil detectá-lo e removê-lo. Os usuários que não têm uma solução de segurança para identificar e bloquear a ameaça antes dessa invasão terão problemas graves. Acreditamos ter descoberto esse malware em um estágio bastante precoce. Nossa análise mostra que os módulos maliciosos informam cada movimento aos invasores, e existem técnicas capazes de violar os dispositivos infectados. A rapidez é essencial para evitar um ataque massivo e perigoso”, declarou Roman Unuchek, analista sênior de malware da Kaspersky Lab.
Os usuários que suspeitam ter sido infectados pelo Dvmap devem fazer backup de todos os seus dados e executar uma restauração dos dados de fábrica. Além disso, a Kaspersky Lab recomenda que todos os usuários instalem em seus dispositivos uma solução de segurança confiável, como o Kaspersky Internet Security for Android, sempre verifiquem se os aplicativos foram criados por um desenvolvedor respeitável, mantenham o software do sistema operacional e dos aplicativos atualizado e não baixem nada que pareça minimamente suspeito ou cuja origem não possa ser confirmada.
Para saber mais sobre o cavalo de Troia Dvmap, leia a postagem no blog em Securelist.com.
Todos os produtos da Kaspersky Lab detectam esse cavalo de Troia como Trojan.AndroidOS.Dvmap.a.
Nenhum comentário