El nombre de este troyano es Dvmap, y según Kaspersky Lab, ha sido descargado más de 50.000 veces desde que fue publicado en la Play Store el pasado mes de marzo de 2017. En lo que respecta a las acciones que realiza, Dvamp tiene la capacidad de conseguir acceso como root en el sistema, lo que le da privilegios totales sobre el dispositivo Android infectado. Además, es capaz de hacerse con el control del sistema a través de la inyección de código malicioso en las bibliotecas del sistema y, en caso de realizar este paso con éxito, puede eliminar el mismo acceso como root, lo que impediría su detección.
La parte correspondiente a la inyección de código es realmente preocupante, ya que resulta novedosa dentro del sector móvil y permite la ejecución de módulos maliciosos. Por otro lado, el borrado del acceso a root impide la detección a dicho acceso por parte de aplicaciones bancarias y soluciones de seguridad, por lo que no serían capaces de detectar el malware.
La otra acción realizada por Dvmap, la modificación de las bibliotecas del sistema, es un proceso arriesgado que puede fallar. Los analistas de Kaspersky Lab han observado que el troyano rastrea e informa a un servidor de mando y control, incluso sin recibir órdenes por parte de dicho servidor, siendo esto una evidencia de que su implementación o funcionamiento es incompleto.
Para saltarse las medidas de seguridad implementadas por Google para la Play Store, los desarrolladores de Dvmap subieron primero una versión de la aplicación sin malware, siendo este introducido luego a través de una actualización. Para evitar ser detectados, con el paso de las semanas han ido intercalando versiones limpias con otras maliciosas a través de las actualizaciones, realizando el proceso cuatro veces durante las cinco primeras semanas en las que la aplicación estuvo disponible.
Una vez descargada la aplicación maliciosa, el troyano Dvmap se autoinstala en el dispositivo de la víctima en dos fases:
- El malware intenta obtener acceso como root.
- En caso de tener éxito en la fase anterior, instala una serie de herramientas, algunas de las cuales tienen comentarios en chino. El módulo que inyecta para establecer la conexión entre el servidor de mando y control y el malware cliente es com.qualcmm.timeservices.
En la segunda fase el troyano ejecuta un fichero de inicio para comprobar la versión de Android instalada. Esto le sirve para decidir la biblioteca en la que inyectará un código que se reescribirá a uno malicioso, pudiendo así modificar la biblioteca. Sin embargo, es importante tener en cuenta que este proceso puede llevar a que el dispositivo falle.
Una vez parcheada, la biblioteca modificada se encarga de ejecutar un código malicioso que inhabilita la función de VerifyApps y habilita las fuentes desconocidas en la configuración de Android, permitiendo la instalación de aplicaciones desde cualquier lugar y no solo desde la Play Store.
Desde Kaspersky Lab han decidido identificar el troyano como Trojan.AndroidOS.Dvmap.a, y para prevenirlo, recomiendan la adquisición de Kaspersky Internet Security for Android, además de realizar copias de seguridad de los datos y restaurar la configuración de fábrica en caso de haber sido infectado.
El troyano fue eliminado de la Play Store en cuanto Kaspersky Lab notificó a Google de su presencia. Sin embargo, es obvio que el malware ha tenido tiempo para propagarse e infectar a una cantidad nada desdeñable de usuarios.
Los hackers y cibercrminales están poniendo mucho empeño para saltarse las medidas de seguridad de Google para la Play Store, ya que antes de Dvmap se dieron a conocer los casos de Judy y BankBot.
Fuente: muyseguridad
