Nesta segunda-feira (12), a Kaspersky Lab anunciou a
descoberta de um novo malware incomum sendo distribuído pela Play Store.
Batizado como cavalo de troia Dvmap, o malware é capaz de acessar a raiz de
smartphones Android, assumindo o controle do dispositvo a partir da injeção de
código malicioso na biblioteca do sistema. De acordo com as informações, o
cavalo de Troia já foi baixado mais de 50 mil vezes desde março de 2017, mas
felizmente já foi removido da loja.
Distribuído na Play Store como um jogo, o Dvmap conseguiu
ser disseminado burlando as verificações do Google porque seus desenvolvedores
carregaram um aplicativo limpo no final de março. A partir disso, eles
atualizaram o aplicativo com uma versão maliciosa e, posteriormente, carregaram
mais uma versão limpa. Segundo os especialistas, essa movimentação se repetiu
pelo menos cinco vezes em apenas quatro semanas.
Para os analistas, a injeção de código é uma nova evolução
para dispositivos móveis bastante perigosa para dispositivos móveis. Um dos
aspectos importantes sobre o assunto, é que esse tipo de método é capaz de
executar módulos maliciosos mesmo que o acesso à raiz seja eliminado. Por conta
disso, tanto aplicações de segurança quanto de bancos que tenham sido
instalados depois da infecção não conseguem identificar o vírus.
A Kaspersky Lab explica que a instalação do Dvmap acontece
em dois estágios. Na primeira, o malware busca acessar a raiz do smartphone e,
ao conseguir, instala uma série de ferramentas. Um dos módulos é um app
responsável por conectar o vírus ao seu servidor de comando e controle, o
“com.qualcomm.timeservices”. Ainda nessa fase, o malware executa um arquivo que
verifica a versão do Android instalada e decide onde o código será injetado. A
partir disso, o dispositivo afetado passa por uma segunda etapa, em que o
código existente acaba sendo substituído pelo malicioso.
Com a infecção, as bibliotecas do sistema passam a executar
um módulo malicioso com capacidade de desativar a ferramenta VerifyApps,
verificação de aplicativos. Com isso, o vírus ativa a configuração Unknown
sources, que permite a instalação de apps de qualquer origem, incluindo
publicidade e programas maliciosos.
“O cavalo de Troia Dvmap representa uma nova evolução
perigosa dos malwares para Android, em que o código malicioso se injeta nas
bibliotecas do sistema, onde é mais difícil detectá-lo e removê-lo. Os usuários
que não têm uma solução de segurança para identificar e bloquear a ameaça antes
dessa invasão terão problemas graves. Acreditamos ter descoberto esse malware
em um estágio bastante precoce. Nossa análise mostra que os módulos maliciosos
informam cada movimento aos invasores, e existem técnicas capazes de violar os
dispositivos infectados. A rapidez é essencial para evitar um ataque massivo e
perigoso”, explicou Roman Unuchek, analista sênior de malware da Kaspersky Lab.
Quem suspeita que pode ter sido vítima do Dvmap, deve fazer
backup dos dados e efetuar a restauração de fábrica do dispositivo. É
necessário, também, manter o sistema operacional atualizado, bem como os
aplicativos baixados.
Canaltech
Tags
Tecnologia
