Google eliminó un desagradable troyano de Google Play Store a principios de esta semana que podría haber arraigado dispositivos Android e inyectado código malicioso en la biblioteca del sistema de un dispositivo infectado.
El malware, llamado Dvmap, estaba disfrazado de un juego que había sido descargado más de 50.000 veces antes de su eliminación, de acuerdo con Roman Unuchek, un analista de malware senior con Kaspersky Lab que descubrió el troyano.
Unuchek encontró el malware el 19 de mayo, mientras analizaba los resultados de un sistema interno que monitorea para encontrar nuevas variedades de malware de enraizamiento. Google eliminó el troyano el martes después de Kaspersky Lab informó a la empresa el 25 de mayo.
El juego, “colourblock”, fue catalogado como un “simple, desafiante, adictivo” juego de puzzle en el que los usuarios cambian los colores de los bloques con el fin de cambiar el color de toda la pantalla.
Una vez instalado, Dvmap intenta obtener acceso root mediante el lanzamiento de un archivo de inicio que comprueba la versión de Android que se ejecuta en el dispositivo y en qué biblioteca debe inyectar su código. Si tiene éxito, el malware sigue adelante e instala herramientas (algunas escritas en chino) para conectar el troyano a su servidor de comandos y control.
Unuchek, que describió a Dvmap hoy en un post a Securelist, dice que no está claro si el malware está listo para el horario estelar sin embargo. El investigador observó los módulos dentro de la información de disparo de malware de nuevo al servidor de comando y control, pero el servidor nunca respondió de nuevo, algo que indica que el malware no está totalmente listo o implementado.
Modificar las bibliotecas del sistema no es una práctica a prueba de fallos, advierte Unuchek. El investigador dice que en algunos casos el malware puede causar que los dispositivos se bloqueen sobrescribiendo el código existente.
Parece que los delincuentes detrás de Dvmap subieron una versión limpia del juego a Google Play a finales de marzo, y luego la actualizaron con una versión maliciosa – en y fuera – cinco veces durante el transcurso de cuatro semanas. La estrategia probablemente ayudó a los atacantes a evitar los controles de seguridad del mercado, dice Unuchek.
VerifyApps, el escáner de malware de Google para Android, puede comprobar software nuevo e instalado en dispositivos contra una lista de malware conocido, pero no es inmune a Dvmap, dice Unuchek.
“Las bibliotecas de sistema recién remendadas ejecutan un módulo malicioso que puede desactivar la función ‘VerifyApps'”, agregó Unuchek, “A continuación, cambia la configuración” Fuentes desconocidas “, lo que le permite instalar aplicaciones desde cualquier lugar, no solo en Google Play Store . Estas podrían ser aplicaciones publicitarias maliciosas o no solicitadas. ”
El malware de Android que ayuda a los atacantes a obtener acceso root no es exactamente nuevo. Los investigadores de Kaspersky Lab descubrieron un troyano bancario de Android que intentó obtener privilegios de root en dispositivos el pasado mes de septiembre. Si bien esa aplicación no estaba en el mercado de Google Play, una aplicación que Unuchek tropezó en septiembre fue. La aplicación, enmascarada como un juego Pokémon GO, también proporcionó acceso root a los atacantes. Además de eso, era más popular que el juego Unuchek encontrado la semana pasada; Habiendo sido descargado más de 500.000 veces antes de que Google lo eliminara.
Unuchek dice que uno de los rasgos que hace Dvmap diferente, el hecho de que el malware se puede inyectar en las bibliotecas del sistema, es particularmente preocupante.
“Inyectar código en la biblioteca del sistema es algo nuevo para el malware de Android y algo muy poderoso”, dijo Unuchek a Threatpost, “Pero al mismo tiempo, es un método muy peligroso que puede romper el dispositivo. Creo que veremos algunos más troyanos haciéndolo en el futuro, pero es una funcionalidad demasiado peligrosa para la mayoría de los troyanos y es difícil de implementar “.
Kaspersky Lab y Unuchek están animando a los usuarios que descargaron el juego o creen que están infectados para realizar copias de seguridad de sus datos y realizar un restablecimiento completo de los datos de fábrica para mitigar el malware.
“Los usuarios que no tienen la seguridad en su lugar para identificar y bloquear la amenaza antes de que se rompa tienen un tiempo difícil por delante”, dijo Unuchek sobre el malware.