Stručnjaci iz kompanije Kaspersky Lab otkrili su neobičan Trojan malver na Google Play Store platformi. Reč je o Dvamp trojan virusu koji ima sposobnost ne samo da preuzme „root“ privilegije na Android uređajima, već i da preuzme kontrolu nad uređajem tako što će ubaciti maliciozni kod u sistemsku biblioteku. Ukoliko je uspešno ubačen, kod može obrisati „root“ pristup, i na taj način se otežava otkrivanje malvera. Trojan je sa Google Play Store platforme, o čemu je Google obavešten, preuzet više od 50.000 puta od marta 2017. godine.
Mogućnost ubacivanja koda je opasan novi trend na polju mobilnih malvera. Kako se ovaj pristup može koristiti da se pokrenu maliciozni moduli čak i kada je „root“ pristup obrisan, bilo koja sigurnosna rešenja i bankarske aplikacije sa karakteristikama za detekciju „root“ pritstupa instalirana posle infekcije, neće uspeti da detektuju prisustvo malvera.
Međutim, modifikacije sistemskih biblioteka su rizičan proces koji može imati ozbiljne posledice. Istraživanje je pokazalo da Dvamp malver obaveštava svoj komandni i kontrolni server o svakom svom pokretu, iako komandni server nije poslao nikakve instrukcije. To ukazuje na činjenicu da malver još uvek nije u potpunosti spreman i implementiran.
Dvamp je distriburian kao igrica putem Google Play Store platforme. Da bi premostili sigurnosne provere na aplikaciji, kreatori malvera postavili su “čistu” aplikaciju na Google Store krajem marta 2017. godine, a zatim su je na kratko vreme ažurirali malicioznom verzijom pre nego što su ubacili drugu “čistu” verziju. U periodu od četiri nedelje ponovili su ovo najmanje pet puta.
Dvamp Trojan se instalira na uređaj žrtve u dva koraka. U prvoj fazi malver traži „root“ pristup na uređaju. Ukoliko je postupak uspešan, on dalje instalira brojne alate, od kojih neki sadrže komentare na Kineskom jeziku. Jedan od ovih modula je aplikacija „com.qualcmm.timeservices” koja povezuje trojan virus sa njegovim komandnim i kontrolnim serverom. Međutim, tokom perioda ispitivanja malver nije dobio nikakve povratne komande.
U glavnoj fazi infekcije, Trojan pokreće „start” fajl, proverava verziju Androida na uređaju i odlučuje u koju biblioteku da ubaci kod. U sledećem koraku, postojeći biva zamenjen malicioznim kodom koji može uzrokovati gašenje ili kvar uređaja.
Ovako izmenjene sistemske biblioteke aktiviraju maliciozni modul koji isključuje opciju za verifikovanje aplikacija (VerifyApps), a zatim pokreće podešavanje za instalaciju sa nepoznatih izvora (Unknown sources), što omogućuje da aplikacija bude instalirana sa bilo kog mesta, a ne samo sa Google Play Store platforme. Ovo može biti maliciozna ili nepoželjna advertajzing aplikacija.
„Dvamp Trojan, sa malicioznim kodom koji napada sistemske biblioteke odakle se teže otkriva i uklanja, predstavlja opasan novi trend na polju Android malvera. Korisnici koji nemaju adekvatnu zaštitu koja prepoznaje i blokira malver pre nego što ih napadne, imaće veliih problema. Verujemo da smo otkrili malver u veoma ranom stadijumu razvoja. Naša analiza pokazuje da maliciozni moduli izveštavaju napadače o kretanju malvera, dok neke tehnike mogu ozbiljno oštetiti inficirane uređaje. Vreme je ključan faktor ako nameravamo da sprečimo veći i opasniji napad”, izjavio je Roman Unuček (Roman Unuchek), viši malver analitičar u kompaniji Kaspersky Lab.
Korisnicima koji su zabrinuti da bi mogli biti inficirani Dvamp malverom kompanija Kaspersky Lab savetuje da prave rezervne kopije svojih podataka i resetuju svoje uređaje na fabrička podešavanja. Povrh svega, Kaspersky Lab savetuje sve korisnike da na svoje uređaje instaliraju pouzdana bezbednosna rešenja, kao što je Kaspersky Internet Security for Android, da se uvek informišu o tome da li su aplikacije napravile provereni autori, da redovno ažuriraju svoje operativne sisteme i softverske aplikacije, i da ne preuzimaju na svoj uređaj ništa što deluje sumnjivo ili čiji se izvor ne može pouzdano utvrditi.
Ako želite da saznate više o Dvamp Trojan malveru, pročitajte blog post na stranici Securelist.com.
Sva bezbednosna rešenja kompanije Kaspersky Lab trojan virus kao Trojan.AndroidOS.Dvmap.a.