Malware que afeta dispositivos Android está sendo distribuído pelo Google Play

Smartphone hacker

Nesta segunda-feira (12), a Kaspersky Lab anunciou a descoberta de um novo malware incomum sendo distribuído pela Play Store. Batizado como cavalo de troia Dvmap, o malware é capaz de acessar a raiz de smartphones Android, assumindo o controle do dispositvo a partir da injeção de código malicioso na biblioteca do sistema. De acordo com as informações, o cavalo de Troia já foi baixado mais de 50 mil vezes desde março de 2017, mas felizmente já foi removido da loja.

Distribuído na Play Store como um jogo, o Dvmap conseguiu ser disseminado burlando as verificações do Google porque seus desenvolvedores carregaram um aplicativo limpo no final de março. A partir disso, eles atualizaram o aplicativo com uma versão maliciosa e, posteriormente, carregaram mais uma versão limpa. Segundo os especialistas, essa movimentação se repetiu pelo menos cinco vezes em apenas quatro semanas.

Para os analistas, a injeção de código é uma nova evolução para dispositivos móveis bastante perigosa para dispositivos móveis. Um dos aspectos importantes sobre o assunto, é que esse tipo de método é capaz de executar módulos maliciosos mesmo que o acesso à raiz seja eliminado. Por conta disso, tanto aplicações de segurança quanto de bancos que tenham sido instalados depois da infecção não conseguem identificar o vírus.

A Kaspersky Lab explica que a instalação do Dvmap acontece em dois estágios. Na primeira, o malware busca acessar a raiz do smartphone e, ao conseguir, instala uma série de ferramentas. Um dos módulos é um app responsável por conectar o vírus ao seu servidor de comando e controle, o “com.qualcomm.timeservices”. Ainda nessa fase, o malware executa um arquivo que verifica a versão do Android instalada e decide onde o código será injetado. A partir disso, o dispositivo afetado passa por uma segunda etapa, em que o código existente acaba sendo substituído pelo malicioso.

Com a infecção, as bibliotecas do sistema passam a executar um módulo malicioso com capacidade de desativar a ferramenta VerifyApps, verificação de aplicativos. Com isso, o vírus ativa a configuração Unknown sources, que permite a instalação de apps de qualquer origem, incluindo publicidade e programas maliciosos.

“O cavalo de Troia Dvmap representa uma nova evolução perigosa dos malwares para Android, em que o código malicioso se injeta nas bibliotecas do sistema, onde é mais difícil detectá-lo e removê-lo. Os usuários que não têm uma solução de segurança para identificar e bloquear a ameaça antes dessa invasão terão problemas graves. Acreditamos ter descoberto esse malware em um estágio bastante precoce. Nossa análise mostra que os módulos maliciosos informam cada movimento aos invasores, e existem técnicas capazes de violar os dispositivos infectados. A rapidez é essencial para evitar um ataque massivo e perigoso”, explicou Roman Unuchek, analista sênior de malware da Kaspersky Lab.

Quem suspeita que pode ter sido vítima do Dvmap, deve fazer backup dos dados e efetuar a restauração de fábrica do dispositivo. É necessário, também, manter o sistema operacional atualizado, bem como os aplicativos baixados.

via Canaltech

Deixe uma resposta