Dvmap, un troyano descubierto en Google Play

Publicada en

Android

La capacidad de inyección de código es una novedad muy peligrosa en el malware para móviles. Así lo demuestra, una vez más, el último malware descubierto por los analistas de Kaspersky Lab en Google Play: descargado en más de 50.000 ocasiones, Dvmap, un troyano capaz de hacerse con el control de tu terminal Android, se une a la lista de juegos utilizados por los cibercriminales para engañar a los usuarios.

Así actúa Dvmap

El troyano Dvmap se autoinstala en el dispositivo de la víctima siguiendo dos fases. Durante la fase inicial, el malware intenta asentarse en el dispositivo con acceso root. Si tiene éxito, instalará una serie de herramientas, algunas con comentarios en chino. Uno de estos módulos es una aplicación, “com.qualcmm.timeservices”, que conecta al troyano con su servidor C&C.

En la principal fase de infección, el troyano lanza un archivo “start” que comprueba la versión de Android instalada y decide en qué biblioteca va a inyectar el código. El siguiente paso consiste en rescribir el código con un código malicioso que puede llevar al dispositivo infectado a fallar.

Las bibliotecas parcheadas ejecutan un módulo malicioso que apaga la función “VerifyApps”, y conecta la configuración “Fuentes desconocidas”, que permite instalar aplicaciones desde cualquier lugar, no solamente desde la tienda de Google Play. Estas aplicaciones pueden ser tanto maliciosas como de publicidad no solicitada.

De este modo, Dvmap es capaz no sólo de conseguir derechos de acceso al root (administrador) en un smartphone con sistema operativo Android, sino que también puede hacerse con el control del dispositivo inyectando un código malicioso en la biblioteca del sistema. Si tiene éxito, podría borrar el acceso root evitando así ser detectado. Y es que, al utilizar para ejecutar módulos maliciosos, incluso con el acceso root borrado, cualquier solución de seguridad y cualquier aplicación bancaria con elementos de detección root que se instale después de la infección, no detectará la presencia del malware.

Sin embargo, la modificación de las bibliotecas del sistema es un proceso arriesgado que puede llegar a fallar. Los analistas observaron que el malware Dvmap rastrea e informa al servidor de comando y control de cada uno de sus movimientos, incluso aunque el servidor no responda con ninguna orden lo que indica que el malware no está completamente funcionando o implementado.

 

Para evitar las comprobaciones de seguridad de la tienda, a finales de marzo de 2017, los creadores del malware subieron una versión limpia de la aplicación. Después la actualizaron con una versión maliciosa, y al poco tiempo la cambiaron por una versión limpia de nuevo. En cuatro semanas, realizaron este mismo proceso al menos en cinco ocasiones. Tal y como ocurre en estas ocasiones, Google ha eliminado de su tienda este supuesto juego tras la alarma.

¿Podrías estar infectado?

 

Para todo aquello usuarios que creen que pueden estar infectados, se aconseja hacer copias de seguridad de sus datos y realizar una reinstalación de fábrica.

Además, desde Kaspersky Lab añaden que es todo usuario debería “instalar en su dispositivo una solución de seguridad fiable, comprobar siempre que las aplicaciones han sido creadas por un desarrollador con buena reputación, mantener actualizado su sistemas operativo y el software de las aplicaciones, y no descargar nada que pueda parecer sospechoso o cuyo origen no pueda ser verificado”.

Y es que, tal y como afirma Roman Unuchek, analista de malware senior en Kaspersky Lab: “Los usuarios que no disponen de la seguridad adecuada para identificar sobre la marcha y bloquear la amenaza antes de que explote, van a encontrarse en una situación muy difícil”. El tiempo es esencial si queremos prevenir un ataque masivo y peligroso”.

 

La entrada Dvmap, un troyano descubierto en Google Play aparece primero en Globb Security.

Source: Noticias Tecnológicas
Dvmap, un troyano descubierto en Google Play

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *