跳到主体内容

Google Play上出现能够利用最新技术控制设备的安卓恶意软件——Dvmap

2017年6月8日

卡巴斯基实验室专家发现一种不同寻常的最新木马通过Google Play应用市场进行传播。

卡巴斯基实验室专家发现一种不同寻常的最新木马通过Google Play应用市场进行传播。这种名为Dvmap的木马不仅能够获取安卓智能手机的root访问权限,还能够通过在系统库文件中注入恶意代码,控制受感染设备。如果成功,木马会删除root权限,从而避免被检测出来。从2017年3月起,该木马从Google Play的下载次数已经超过50,000次。卡巴斯基实验室已经将该木马提交给Google,目前该恶意软件已经从Google Play中下架。

移动恶意软件中引入了代码注入功能,这是一种非常危险的新趋势。即使删除root访问权限全年,仍然可以利用这种手段执行恶意模块,所以一旦感染后,再安装具有root检测功能的安全解决方案和网银应用,也无法检测到恶意软件的存在。

但是,对系统库文件进行修改是一种可能失败的高风险行为。研究人员观察到,Dvmap恶意软件会跟踪和报告每一步动作,将其上传到命令和控制服务器,尽管命令服务器不会返回指令。这说明这种恶意软件还尚未完全准备好或全面部署。

Dvmap是作为一种游戏通过Google Play应用商店进行传播。为了绕过在线商店的安全检查,恶意软件作者在2017年3月底上传了一版干净的应用。之后,很快通过升级将其替换为恶意版本,然后在上传干净版本。在四周内,他们这样操作了至少五次。

Dvmap木马分两阶段将自身安装到受害者设备上。初始阶段,恶意软件会试图获取设备的root权限。如果成功,会安装多个工具,其中一些工具包含中文注释。其中一个模块是一个应用程序“com.qualcmm.timeservices”,用来实现木马与命令和控制服务器之间的连接。但是,调查期间,该恶意软件没有从命令和控制服务器收到任何指令。

在感染主要阶段,木马会启动一个“start”文件,检查设备上安装的安卓操作系统版本,从而决定在哪个库文件中注入其代码。下一步:利用恶意代码覆盖已有的代码,可能会造成受感染设备崩溃。

新修补的系统库文件会执行一个恶意模块,关闭“验证应用”功能。之后,开启“从未知来源安装”设置,允许设备任意安装应用,而不仅仅从Google Play应用商店安装。这些可能是恶意应用或包含非法广告的应用。

“Dvmap木马的出现表示安卓恶意软件领域出现一种危险的最新发展,即将恶意代码本身注入到系统库文件中,使得恶意软件很难被检测和清除。如果用户没有部署安全解决方案,无法在注入之前检测和拦截威胁,将会面临严重威胁。我们认为,我们是在该恶意软件的最初期发现的它。我们的分析显示,恶意模块会向攻击者报告设备的一举一动,有些技术可能会损坏受感染设备。如果我们要阻止大规模和危险的攻击,时间至关重要,”卡巴斯基实验室资深恶意软件分析师Roman Unuchek说。

对于担心自己可能遭受Dvmap感染的用户,我们建议您备份好所有数据,恢复设备的默认出厂设置。此外,卡巴斯基实验室建议所有用户在设备上安装可靠的安全解决方案,例如卡巴斯基安全软件安卓版,同时需要检查自己安装的软件是否来自可信任的开发商,保持操作系统和软件及时更新,不要从可以来源或无法验证的来源下载任何东西。

想要了解更多有关Dvmap木马详情,请阅读Securelist.com上的相关博文

所有卡巴斯基实验室产品都可以检测这种木马,检测结果为Trojan.AndroidOS.Dvmap.a

Google Play上出现能够利用最新技术控制设备的安卓恶意软件——Dvmap

卡巴斯基实验室专家发现一种不同寻常的最新木马通过Google Play应用市场进行传播。
Kaspersky logo

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,以及用于应对复杂和不断变化的数字威胁的网络免疫解决方案。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球200,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.cn.

相关文章 企业新闻