Los expertos de seguridad de Kaspersky han sido quienes han detectado esta aplicación maliciosa publicada en la propia tienda de Google. Como hemos dicho, no es noticia que un troyano se cuele en la Play Store, y sin ir más lejos, en los últimos meses hemos hablado de varias amenazas que han estado infectando a los usuarios distribuyéndose como “aplicaciones seguras” desde la propia tienda de Google.

Sin embargo, en esta ocasión, los piratas informáticos responsables de este nuevo troyano, llamado Dvmap, han ido más allá, y han conseguido publicar en la tienda de Google un troyano con capacidades tan complejas como hacer root a cualquier dispositivo e inyectar código en tiempo real en la memoria de los dispositivos infectados.

Dvmap, el troyano más complejo y peligroso visto hasta la fecha para Android

Cuando este troyano infectaba un dispositivo, lo primero que hacía era desactivar las medidas de seguridad de Android de manera que los atacantes pudieran instalar otro software en los dispositivos. Además, sobrescribían una serie de librerías de manera que este pudiera hacerse persistente (no se borrara) y, además, consiguiera tener permisos de root en el dispositivo explotando varias vulnerabilidades de Android, vulnerabilidades conocidas por Google (y por todos) y que la compañía no soluciona.

El troyano, además, infectaba por igual tanto a dispositivos de 32 bits como a smartphones de 64 bits.

Una vez que Dvmap consigue el control absoluto en el dispositivo, se conecta a un servidor C&C, controlado por los piratas informáticos, desde el que recibe las órdenes. Los investigadores de seguridad, de momento, no conocen todos los comandos que recibe desde este servidor, por lo que no quedan muy claro todo lo que puede hacer.

Cómo el troyano ha sido capaz de evadir las medidas de seguridad de la Play Store

Google, en teoría (aunque no lo parece) comprueba todas y cada una de las aplicaciones que se suben a su tienda de manera que pueda proteger a los usuarios del malware. Esta comprobación la realiza un software de seguridad que comprueba el comportamiento de la app y, si es sospechosa, entonces ya pasa el relevo a un técnico real.

Para poder engañar a la máquina, estos piratas informáticos subían una aplicación limpia, concretamente un juego de puzles llamado Colourblock que sería la que analizaba la máquina de Google y, acto seguido, subían una nueva versión de la aplicación ya con el código malicioso en su interior. De esta manera, no levantaban sospechas y, al ver que la primera aplicación era segura, se obviaba que la segunda también lo era.

Dvmap-Peligroso-troyano-Android-Play-Store

Esta técnica la realizaron en más de 5 ocasiones entre abril y mayo de este mismo año. Según informa Kaspersky, esta aplicación ha sido descargada e instalada más de 50.000 veces en dispositivos de todo el mundo.

Cómo protegernos del troyano Dvmap para Android

Si en ningún momento nos hemos cruzado con esta aplicación no tenemos de qué preocuparnos, pero si la hemos instalado en alguna ocasión, la cosa se complica.

Lo esencial siempre es hacer una copia de seguridad de todos los datos y restablecer los valores de fábrica para intentar mitigar la amenaza. Sin embargo, ya que este troyano conseguía permisos de root, es probable que esto no sirva de mucho ya que probablemente se haya copiado a la partición del sistema, por lo que restablecer los valores de fábrica no lo eliminará.

En caso de haber instalado este software, lo que debemos hacer es realizar un cambio completo de ROM para sobrescribir al completo la partición de sistema y asegurarnos de que la amenaza desaparece por completo.

Además, para evitar caer de nuevo en amenazas similares, debemos tener mucho cuidado al instalar aplicaciones, incluso desde la Play Store, instalando, a ser posible, apps de desarrolladores de confianza, con buena nota y, sobre todo, revisando los permisos para asegurarnos de que no se pide nada raro.

¿Qué opinas de este nuevo malware para Android?

 

Fuente: softzone