Dvmap: o primeiro Malware do Android com Injeção de Código

Em abril de 2017 foi descoberto um novo malware de roteamento distribuído pela Google Play Store. Ao contrário de outros malwares de roteamento, este Trojan não só instala seus módulos no sistema, mas também injeta código mal-intencionado nas bibliotecas de tempo de execução do sistema.

Os produtos da Kaspersky Lab o detectam como Trojan.AndroidOS.Dvmap.a.

A distribuição do malware roteado através do Google Play não é uma coisa nova. Por exemplo, o Trojan Ztorg foi carregado no Google Play quase 100 vezes desde setembro de 2016.  Mas o Dvmap é um malware rooting muito especial. Ele usa uma variedade de novas técnicas, mas o mais interessante é que ele injeta código malicioso nas bibliotecas do sistema – libdmv.so ou libandroid_runtime.so.  Isso torna o Dvmap o primeiro malware do Android que injeta código mal-intencionado nas bibliotecas do sistema em tempo de execução e foi baixado da Google Play Store mais de 50.000 vezes.

Kaspersky Lab relatou o Trojan ao Google e ele foi removido da loja.

Para passar pelas verificações de segurança do Google Play Store, os criadores de malware usaram um método muito interessante: eles carregaram um aplicativo limpo na loja no final de março de 2017 e, em seguida, atualizaram-no com uma versão maliciosa por um curto período de tempo, retornando a versão limpa no mesmo dia. Eles fizeram isso pelo menos 5 vezes entre 18 de abril e 15 de maio.

Parece que seu objetivo principal é entrar no sistema e executar arquivos baixados no direitos de raiz. Esses módulos maliciosos informam aos atacantes sobre cada passo que eles farão, o que leva a crer que os autores ainda estão testando o malware, porque eles usam algumas técnicas que podem invadir os dispositivos infectados, mas ainda não parece ter efetuado o golpe final. No entanto o site SecureList afirma que eles já têm muitos usuários infectados para testar seus métodos.

 

fonte: SecureList
por: MindSec 08/06/2017

 

 

About mindsecblog 208 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.