APPS
DVMAP: ΚΑΚΟΒΟΥΛΟ ΛΟΓΙΣΜΙΚΟ ΣΤΟ GOOGLE PLAY
Περιεχόμενα
0

DVMAP: ΚΑΚΟΒΟΥΛΟ ΛΟΓΙΣΜΙΚΟ ΣΤΟ GOOGLE PLAY

από TechZoom26 Ιουλίου 2017

Οι ειδικοί της Kaspersky Lab έχουν ανακαλύψει ένα ασυνήθιστο νέο Trojan που διανέμεται μέσω του Google Play Store. Το Trojan Dvmap το οποίο παριστάνει ότι είναι παιχνίδι, είναι σε θέση όχι μόνο να αποκτά δικαιώματα πλήρους πρόσβασης (root access) σε Android smartphones, αλλά μπορεί επίσης να πάρει τον έλεγχο της συσκευής εισάγοντας κακόβουλο κώδικα στη βιβλιοθήκη του συστήματος.

Η απόκτηση της δυνατότητας έγχυσης κώδικα είναι μια επικίνδυνη νέα εξέλιξη στο κακόβουλο λογισμικό για φορητές συσκευές. Δεδομένου ότι η προσέγγιση μπορεί να χρησιμοποιηθεί για την εκτέλεση κακόβουλων λειτουργιών, ακόμη και με τη διαγραφή της πλήρους πρόσβασης, οποιεσδήποτε λύσεις ασφάλειας και εφαρμογές τραπεζών με δυνατότητες πλήρους ανίχνευσης που έχουν εγκατασταθεί μετά τη «μόλυνση» δεν θα εντοπίσουν την παρουσία του κακόβουλου λογισμικού.

Ωστόσο, η τροποποίηση των βιβλιοθηκών του συστήματος είναι μια επικίνδυνη διαδικασία που μπορεί να αποτύχει. Οι ερευνητές παρατήρησαν ότι το κακόβουλο λογισμικό Dvmap παρακολουθεί και αναφέρει κάθε κίνηση του στον command and control server – παρόλο που ο command server δεν ανταποκρίθηκε με οδηγίες. Αυτό υποδηλώνει ότι το κακόβουλο λογισμικό δεν είναι ακόμη πλήρως έτοιμο ή εφαρμοσμένο.

Το Dvmap διανέμεται ως παιχνίδι μέσω του Google Play Store. Για να παρακάμψουν τους ελέγχους ασφαλείας του καταστήματος, οι δημιουργοί του κακόβουλου λογισμικού «ανέβασαν» μια «καθαρή» εφαρμογή στο κατάστημα στα τέλη Μαρτίου του 2017. Στη συνέχεια, την ενημέρωσαν με μια κακόβουλη έκδοση για σύντομο χρονικό διάστημα, προτού «ανεβάσουν» μια άλλη καθαρή έκδοση. Σε διάστημα  τεσσάρων εβδομάδων πραγματοποίησαν τη διαδικασία αυτή τουλάχιστον πέντε φορές.

Το Trojan Dvmap εγκαθίσταται στη συσκευή του θύματος σε δύο στάδια. Κατά τη διάρκεια της αρχικής φάσης, το κακόβουλο λογισμικό προσπαθεί να αποκτήσει πλήρη δικαιώματα (root) στη συσκευή. Αν η προσπάθειά του αυτή στεφθεί με επιτυχία, θα εγκαταστήσει μια σειρά εργαλείων, μερικά από τα οποία περιέχουν σχόλια στην κινεζική γλώσσα. Μία από τις μονάδες αυτές είναι μια εφαρμογή, «com.qualcmm.timeservices», η οποία συνδέει το Trojan με τον command and control server. Ωστόσο, κατά την περίοδο της έρευνας το κακόβουλο λογισμικό δεν έλαβε πίσω καμία εντολή.

Στην κύρια φάση της «μόλυνσης», το Trojan ξεκινά ένα αρχείο «εκκίνησης», ελέγχει την έκδοση του Android που βρίσκεται εγκατεστημένη και αποφασίζει σε ποια βιβλιοθήκη να εγχύσει τον κώδικά του. Το επόμενο βήμα: η αντικατάσταση του υφιστάμενου κώδικα με κακόβουλο κώδικα, η οποία μπορεί να προκαλέσει κρασάρισμα της «μολυσμένης» συσκευής.

Οι βιβλιοθήκες συστήματος που έχουν ενημερωθεί εκ νέου εκτελούν μια κακόβουλη λειτουργική ενότητα, η οποία μπορεί να απενεργοποιήσει τη λειτουργία “Πιστοποίηση Εφαρμογών”. Στη συνέχεια, ενεργοποιεί τη ρύθμιση “Άγνωστες πηγές”, η οποία της επιτρέπει να εγκαθιστά εφαρμογές από οπουδήποτε και όχι μόνο από το Google Play Store. Αυτές θα μπορούσαν να είναι κακόβουλες ή ανεπιθύμητες διαφημιστικές εφαρμογές.

About The Author
TechZoom

Αφήστε μια απάντηση