קספרסקי: 50 אלף הורידו את הסוס הטרויאני Dvmap
חוקרי מעבדות קספרסקי הסבירו כי Dvmap הופץ כמשחק בחנות גוגל פליי. כדי לעקוף את בדיקות האבטחה בחנות האפליקציות של גוגל, יוצרי הקוד הזדוני העלו תוכנה נקיה לחנות בסוף מרס השנה. לאחר מכן הם עדכנו אותה בגרסה זדונית
מומחי מעבדת קספרסקי חשפו סוס טרויאני חדש וייחודי, המופץ דרך חנות האפליקציות של גוגל, Google Play. המומחים הוסיפו כי לא רק שהטרויאני Dvmap מסוגל להשיג הרשאות ליבה למכשירי אנדרואיד, הוא גם מסוגל לקבל שליטה על המכשיר באמצעות הזרקת קוד זדוני לתוך ספריית המערכת. אם הוא מצליח בכך, הוא יכול למחוק את הגישה לליבה ובכך להימנע מזיהוי. על-פי קרפרסקי לתוכנה הזדונית הורדה כבר 50 אלף פעמים. לאחר הדיווח לגוגל הוסרה התוכנה מחנות האפליקציות.
במעבדת קספרסקי הסבירו כי הופעתן של יכולות להזרקת קוד היא התפתחות מסוכנת בעולם הקוד הזדוני לטלפונים ניידים. פעולה שכזו יכולה לשמש להפעלת מודולים של קוד זדוני אפילו לאחר מחיקת הגישה לליבה. בכך, כל פתרון אבטחה ואפליקציית בנקאות המתבססים על מאפיינים לזיהוי פריצה לליבה, אשר יותקנו לאחר ההדבקה, לא יזהו את נוכחות הקוד הזדוני.
החוקרים הבחינו כי הקוד הזדוני Dvmap עוקב ומדווח על כל תנועה שלו אל שרת הפיקוד והשליטה - למרות שהשרת לא ענה עם הוראות. הדבר מצביע על כך שהקוד הזדוני עדיין לא מוכן ומבצעי לחלוטין.
Dvmap הופץ כמשחק בחנות גוגל פליי. כדי לעקוף את בדיקות האבטחה בחנות האפליקציות של גוגל, יוצרי הקוד הזדוני העלו תוכנה נקיה לחנות בסוף מרס השנה. לאחר מכן הם עדכנו אותה בגרסה זדונית למשך זמן קצר, לפני שהעלו פעם נוספת את הגרסה הנקייה. בטווח של ארבעה שבועות הם עשו זאת לפחות חמש פעמים.
הטרויאני Dvmap מתקין את עצמו על גבי מכשיר הקורבן בשני שלבים. במהלך השלב הראשון, הקוד הזדוני מנסה לקבל הרשאות גישה לליבת המכשיר. אם הוא מצליח, הוא יתקין מספר כלים, שחלק מהם מכילים הערות בסינית. אחד מהמודולים האלה הוא אפליקציה, com.qualcmm.timeservices, אשר מחברת את הטרויאני לשרת הפיקוד והשליטה שלו. עם זאת, במהלך תקופת החקירה של הקוד הזדוני, לא נשלחו שום פקודות בחזרה.
בשלב המרכזי של ההדבקה, הטרויאני מפעיל קובץ "התחלה", בודק את גרסת האנדרואיד המותקנת, ומחליט לאיזו ספריה להזריק את הקוד שלו. הצעד הבא, החלפת הקוד הקיים בקוד הזדוני, יכול לגרום למכשיר המודבק לקרוס. ספריות המערכת המעודכנות מפעילות מודול זדוני אשר יכול לכבות את מאפיין ה- VerifyApps. לאחר מכן הוא מפעיל הגדרת Unknown sources, המאפשרת לו להתקין אפליקציות מכל מקום, לא רק מחנות גוגל פליי. אלה יכולות להיות אפליקציות לפרסום בלתי מורשה או יישומים זדוניים.
"הטרויאני Dvmap מסמן התפתחות חדשה בקוד הזדוני של אנדרואיד, כשהקוד הזדוני מזריק את עצמו לתוך ספריות המערכת, שם קשה יותר לזהות ולהסיר אותו. למשתמשים שלא מפעילים אמצעי אבטחה כדי לזהות ולחסום את האיום לפני שהוא פורץ פנימה, צפויים זמנים קשים. אנו מאמינים כי חשפנו את הקוד הזדוני בשלב מוקדם מאוד. הניתוח שלנו מראה כי המודולים הזדוניים מדווחים לתוקפים על כל מהלך, וחלק מהטכניקות שבשימוש יכולות לגרום להשבתת המכשיר הנגוע. זמן הוא גורם קריטי, אם אנו רוצים למנוע התקפה נרחבת ומסוכנת", מסביר רומן אונצ'ק, אנליסט קוד זדוני בכיר, מעבדת קספרסקי.
למשתמשים שהודבקו על ידי Dvmap מומלץ, לפי קספרסקי, לגבות את כל הנתונים שלהם ולבצע אתחול להגדרות.