Dvmap, o trojan infiltrado no Google Play que controla os dispositivos das vítimas

O trojan infiltrado no Google Play, Dvmap, tem capacidade não só de obter os direitos de acesso ao root (administrador) num smartphone com um sistema operativo Android, como também pode, utilizando o centro de controlo do dispositivo, injetar um código malicioso na biblioteca do sistema. Se for bem-sucedido, pode remover o acesso ao root, o que ajuda a evitar a deteção. A Kaspersky Lab revela, contudo, que após ter sido identificada, a ameaça foi retida da loja de aplicações.

A capacidade de injeção do código é uma novidade no malware para dispositivos móveis. Como pode ser utilizado para executar ficheiros maliciosos, mesmo com o acesso ao root desligado, qualquer solução de segurança e qualquer aplicação bancária com elementos de deteção root que se instale após a infeção, não irão detetar a presença do malware.

No entanto, a modificação das bibliotecas do sistema é um processo arriscado que pode falhar. Os investigadores observaram que o malware Dvmap rastreia e informa o servidor de comando e controlo sobre cada um dos seus movimentos, incluindo aqueles em que o servidor não responde com nenhuma ordem. Isto mostra-nos que o malware não está funcional ou implementado na sua totalidade.

O Dvmap foi distribuído como um jogo através da loja Google Play. Para evitar as verificações de segurança da loja, no final de março de 2017, os criadores do malware lançaram uma versão limpa da aplicação. Depois atualizaram-na com uma versão maliciosa, e pouco tempo depois trocaram-na novamente para uma versão limpa. Em quatro semanas, o mesmo processo foi levado a cabo em pelo menos cinco situações.

O trojan Dvmap instala-se automaticamente no dispositivo da vítima em duas fases. Durante a fase inicial, o malware tenta estabelecer-se no dispositivo com acesso root. Se for bem-sucedido, instala uma série de ferramentas, algumas com comentários em chinês. Um destes módulos é uma aplicação, “com.qualcmm.timeservices”, que coneta o trojan ao seu servidor C&C.

Na principal fase de infeção, o trojan lança um ficheiro “start” que comprova a versão Android instalada e decide em que biblioteca será injetado o código. O passo seguinte consiste em rescrever o código com um código malicioso que pode levar o dispositivo infetado a falhar.

As bibliotecas afetadas executam um ficheiro malicioso que apaga a função “VerifyApps”, que coneta a configuração “Fontes desconhecidas” e que permite a instalação de aplicações a partir de qualquer lugar, e não apenas a partir do Google Play. Estas aplicações podem ser maliciosas ou de publicidade não solicitada.

“O trojan Dvmap coloca-nos perante um perigoso desenvolvimento do malware para Android, com um código malicioso que se introduz nas bibliotecas do sistema, onde é mais complicado de detetar e eliminar. Os utilizadores que não dispõe da segurança adequada para identificar e bloquear a ameaça antes que esta se inicie, vão encontrar-se numa situação muito difícil. Acreditamos ter identificado este malware numa fase de desenvolvimento inicial. O nosso relatório mostra que os ficheiros maliciosos informam os hackers de cada um dos seus movimentos, e algumas das técnicas podem chegar a destruir os dispositivos infetados. O tempo é essencial se queremos prevenir um ataque massivo e perigoso”, comenta Roman Unuchek, investigador sénior de malware na Kaspersky Lab.

Os utilizadores preocupados com uma possível infeção pelo Dvmap devem fazer cópias de segurança dos seus dados e levar a cabo uma reinstalação de fábrica.