Dvmap: νέα Trojan απειλή για τις Android συσκευές

Η διανομή κακόβουλου λογισμικού μέσω του Google Play δεν είναι νέο φαινόμενο. Ένα χρόνο πριν είχαμε το Ztorg Trojan, όμως το Dvmap είναι το πρώτο του είδους του. Οι τεχνικές μόλυνσης που χρησιμοποιεί είναι πρωτόγνωρες, όμως το πιο ενδιαφέρον είναι ότι εγχέει κακόβουλο κώδικα στις βιβλιοθήκες του συστήματος κατά την λειτουργία της συσκευής. Το λογισμικό υπολογίζεται ότι έχει κατεβεί 50.000 φορές, μέχρι που η Kaspersky Lab το εντόπισε και ανέφερε την απειλή στην Google. Βέβαια, το Google Play έχει αρκετές δικλίδες ασφαλείας και ελέγχους, όμως οι δημιουργοί κατάφεραν να τους παρακάμψουν με έναν πολύ έξυπνο τρόπο. Αρχικά, ανέβασαν μια καθαρή εφαρμογή στο Google Play περίπου στα τέλη του Μαρτίου και στην συνέχεια την ενημέρωσαν με την μολυσμένη έκδοση. Μετά από σύντομο χρονικό διάστημα, συνήθως την ίδια μέρα, ανέβαζαν και πάλι την καθαρή μορφή της. Αυτή η διαδικασία επαναλήφθηκε 5 φορές μέσα στην περίοδο 18 Απριλίου και 15 Μαΐου. Όλες οι εφαρμογές με το Dvmap είχαν την ίδια λειτουργία, να αποκωδικοποιούν αρχεία της εγκατάστασης και να ξεκινούν ένα εκτελέσιμο πρόγραμμα με το όνομα “start”.

Το λογισμικό εγκαθίσταται σε δύο φάσεις. Η πρώτη φάση περιλαμβάνει την απόκτηση δικαιωμάτων διαχειριστή και την εγκατάσταση μερικών modules. Έπειτα μπαίνουν μερικά κακόβουλα εργαλεία καθώς και η εφαρμογή “com.qualcmm.timeservices”. Η δεύτερη φάση ή κύρια φάση, ξεκινάει μόλις ολοκληρωθεί με επιτυχία η πρώτη. Εκεί, αναγνωρίζει την έκδοση του Android και πειράζει την αντίστοιχη βιβλιοθήκη, κρατώντας παράλληλα αντίγραφο ασφαλείας. Ο μολυσμένος κώδικας εκτελεί το /system/bin/ip όπου είναι η τοποθεσία της βιβλιοθήκης. Με αυτό τον τρόπο είναι σίγουρο ότι το module θα εκτελεστεί με δικαιώματα συστήματος. Το αρχείο απενεργοποιεί την προστασία “VerifyApps” που εμποδίζει εφαρμογές τρίτων να εγκατασταθούν και δίνει δικαιώματα διαχειριστή στην εφαρμογή “com.qualcmm.timeservices”, χωρίς να το γνωρίζει ο χρήστης. Η εφαρμογή είναι προγραμματισμένη να συνδέεται σε έναν server εντολών και ελέγχου, όμως κατά την διάρκεια των δοκιμών δεν έλαβε περαιτέρω οδηγίες. Πολύ πιθανών, από τον server, να λάμβανε αρχεία με κακόβουλο περιεχόμενο και διαφημίσεις.

Τέλος, ο κώδικας μπορεί να απεγκατασταθεί ανά πάσα στιγμή, χωρίς να αφήσει ίχνη. Τα modules έδιναν αναφορά για κάθε βήμα που έκαναν και ως εκ τούτου οι αναλυτές κατέληξαν στο πόρισμα ότι το λογισμικό ήταν ακόμα υπό δοκιμές. Αυτό επιβεβαιώνεται και από την έλλειψη ανταπόκρισης του server. Ίσως η Kaspersky Lab κατάφερε να σταματήσει μια μεγάλη μόλυνση σε παγκόσμιο επίπεδο. Η καλύτερη κίνηση που μπορούν να κάνουν οι καταναλωτές για να προστατευτούν είναι, σε πρώτο βήμα, να μην κατεβάζουν εφαρμογές από τρίτες και άγνωστε πηγές και, σε δεύτερο βήμα, να σκανάρουν τις συσκευές τους με μια από τις εφαρμογές της Kaspersky.

 Μείνετε συντονισμένοι για περισσότερα νέα.

More Stories
[NSFW] Mod του Shadow of the Tomb Raider ντύνει τη Lara με see-through!