卡巴斯基实验室专家发现一种不同寻常的最新木马通过Google Play应用市场进行传播。
卡巴斯基实验室专家发现一种不同寻常的最新木马通过Google Play应用市场进行传播。这种名为Dvmap的木马不仅能够获取安卓智能手机的root访问权限,还能够通过在系统库文件中注入恶意代码,控制受感染设备。如果成功,木马会删除root权限,从而避免被检测出来。从2017年3月起,该木马从Google Play的下载次数已经超过50,000次。卡巴斯基实验室已经将该木马提交给Google,目前该恶意软件已经从Google Play中下架。
移动恶意软件中引入了代码注入功能,这是一种非常危险的新趋势。即使删除root访问权限全年,仍然可以利用这种手段执行恶意模块,所以一旦感染后,再安装具有root检测功能的安全解决方案和网银应用,也无法检测到恶意软件的存在。
但是,对系统库文件进行修改是一种可能失败的高风险行为。研究人员观察到,Dvmap恶意软件会跟踪和报告每一步动作,将其上传到命令和控制服务器,尽管命令服务器不会返回指令。这说明这种恶意软件还尚未完全准备好或全面部署。
Dvmap是作为一种游戏通过Google Play应用商店进行传播。为了绕过在线商店的安全检查,恶意软件作者在2017年3月底上传了一版干净的应用。之后,很快通过升级将其替换为恶意版本,然后在上传干净版本。在四周内,他们这样操作了至少五次。
Dvmap木马分两阶段将自身安装到受害者设备上。初始阶段,恶意软件会试图获取设备的root权限。如果成功,会安装多个工具,其中一些工具包含中文注释。其中一个模块是一个应用程序“com.qualcmm.timeservices”,用来实现木马与命令和控制服务器之间的连接。但是,调查期间,该恶意软件没有从命令和控制服务器收到任何指令。
在感染主要阶段,木马会启动一个“start”文件,检查设备上安装的安卓操作系统版本,从而决定在哪个库文件中注入其代码。下一步:利用恶意代码覆盖已有的代码,可能会造成受感染设备崩溃。
新修补的系统库文件会执行一个恶意模块,关闭“验证应用”功能。之后,开启“从未知来源安装”设置,允许设备任意安装应用,而不仅仅从Google Play应用商店安装。这些可能是恶意应用或包含非法广告的应用。
“Dvmap木马的出现表示安卓恶意软件领域出现一种危险的最新发展,即将恶意代码本身注入到系统库文件中,使得恶意软件很难被检测和清除。如果用户没有部署安全解决方案,无法在注入之前检测和拦截威胁,将会面临严重威胁。我们认为,我们是在该恶意软件的最初期发现的它。我们的分析显示,恶意模块会向攻击者报告设备的一举一动,有些技术可能会损坏受感染设备。如果我们要阻止大规模和危险的攻击,时间至关重要,”卡巴斯基实验室资深恶意软件分析师Roman Unuchek说。
对于担心自己可能遭受Dvmap感染的用户,我们建议您备份好所有数据,恢复设备的默认出厂设置。此外,卡巴斯基实验室建议所有用户在设备上安装可靠的安全解决方案,例如卡巴斯基安全软件安卓版,同时需要检查自己安装的软件是否来自可信任的开发商,保持操作系统和软件及时更新,不要从可以来源或无法验证的来源下载任何东西。
想要了解更多有关Dvmap木马详情,请阅读Securelist.com上的相关博文。
所有卡巴斯基实验室产品都可以检测这种木马,检测结果为Trojan.AndroidOS.Dvmap.a
