Dvmap é o novo malware descoberto no Google Play
A Kaspersky Lab anunciou a descoberta de um novo trojan para dispositivos móveis, o Dvmap. Este malware, encontrado no Google Play, consegue obter os direitos de acesso de administrador e descarregar ficheiros maliciosos, mesmo que o acesso root esteja desligado, o que impede a sua deteção por parte das soluções de segurança.
Desde março de 2017 que o trojan foi descarregado a partir do Google Play em mais de 50.000 situações tendo sido eliminado após a empresa de cibersegurança ter avisado o Google. Os produtos da Kaspersky identificam a ameaça como Trojan.AndroidOS.Dvmap.a.
O malware instala-se automaticamente no dispositivo da vítima em duas fases. Durante a fase inicial, o Dvmap tenta estabelecer-se no dispositivo com acesso root. Se for bem-sucedido, instala uma série de ferramentas, algumas com comentários em chinês. Um destes módulos é uma aplicação, “com.qualcmm.timeservices”, que conecta o trojan ao seu servidor C&C.
A ameaça verifica qual a versão Android instalada e decide em que biblioteca será injetado o código malicioso. Quando um ficheiro infetado é executado, este apaga a função “VerifyApps”, que conecta a configuração “Fontes desconhecidas”, passando a permitir a instalação de aplicações a partir de qualquer lugar. Estas apps podem ser maliciosas ou de publicidade não solicitada.
“O trojan Dvmap coloca-nos perante um perigoso desenvolvimento do malware para Android, com um código malicioso que se introduz nas bibliotecas do sistema, onde é mais complicado de detetar e eliminar. Os utilizadores que não dispõe da segurança adequada para identificar e bloquear a ameaça antes que esta se inicie, vão encontrar-se numa situação muito difícil. Acreditamos ter identificado este malware numa fase de desenvolvimento inicial. O nosso relatório mostra que os ficheiros maliciosos informam os hackers de cada um dos seus movimentos, e algumas das técnicas podem chegar a destruir os dispositivos infetados. O tempo é essencial se queremos prevenir um ataque massivo e perigoso”, indicou, em comunicado, Roman Unuchek, Investigador Sénior de malware na Kaspersky Lab.
Para evitar a deteção, os cibercriminosos lançaram no final de março de 2017 versão limpa da aplicação, que era distribuída como um jogo, tendo a mesmo sido depois novamente actualizada para uma versão maliciosa. Em quatro semanas, o mesmo processo foi levado a cabo em pelo menos cinco situações, o que demonstra bem como os criadores deste malware tentaram prolongar o seu ataque.
Segundo a empresa, os utilizadores preocupados com uma possível infeção pelo Dvmap devem fazer cópias de segurança dos seus dados e levar a cabo uma reinstalação de fábrica.
