O trojan Dvmap, descoberto pelos especialistas da Kaspersky Lab na Google Play Store, pode obter direitos de acesso ao root (administrador) e injetar um código malicioso na biblioteca do sistema.
Em abril de 2017, a Kaspersky Lab começou a observar um novo malware de root distribuído pela Google Play Store. Ao contrário de outros malwares do mesmo tipo, este trojan não só instala seus módulos no sistema, mas também injeta código mal-intencionado nas bibliotecas de tempo de execução do sistema. Os produtos da Kaspersky Lab são capazes de detectar a ameaça como Trojan.AndroidOS.Dvmap.a.
A distribuição de malware de root através do Google Play não é novidade. Por exemplo, o Trojan Ztorg foi baixado a partir da Google Play quase 100 vezes desde setembro de 2016. No entanto, o Dvmap é uma espécie muito especial. Ele usa uma variedade de novas técnicas, mas o mais interessante é que ele injeta código malicioso nas bibliotecas do sistema – libdmv.so ou libandroid_runtime.so.
O Dvmap é considerado o primeiro malware do Android que injeta código malicioso nas bibliotecas de tempo de execução do sistema e foi baixado da Google Play Store mais de 50.000 vezes. O malware estava escondido dentro de um jogo de quebra-cabeça chamado de Colourblock. O trojan já foi removido da Google Play.
Para burlar as verificações de segurança da loja da Google, os criadores do Dvmap usaram um método muito interessante: eles carregaram um aplicativo limpo para a loja no final de março de 2017 e, em seguida, o atualizaram com uma versão maliciosa por um curto período de tempo e pouco tempo depois trocaram-na novamente para uma versão limpa. Em quatro semanas, o mesmo processo foi realizado pelo menos cinco vezes.
As bibliotecas afetadas executam um arquivo malicioso capaz de apagar a função “VerifyApps”, que conecta a configuração “Fontes desconhecidas”, permitindo a instalação de aplicações a partir de qualquer lugar, e não apenas a partir da Google Play. Estas aplicações podem ser maliciosas ou de publicidade não solicitada.
A descoberta do Dvmap em um estágio tão precoce, possibilitará a prevenção de futuros ataques baseados nesses métodos.
Para mais informações técnicas, leia Dvmap: the first Android malware with code injection
