Stručnjaci iz kompanije Kaspersky Lab otkrili su neobičan Trojan malver na Google Play Store platformi.
Riječ je o Dvamp trojan virusu koji ima sposobnost ne samo da preuzme „root“ privilegije na Android uređajima, već i da preuzme kontrolu nad uređajem tako što će ubaciti maliciozni kod u sistemsku biblioteku.
Ukoliko je uspješno ubačen, kod može obrisati „root“ pristup, i na taj način se otežava otkrivanje malvera. Trojan je sa Google Play Store platforme, o čemu je Google obaviješten, preuzet više od 50.000 puta od marta 2017. godine.
Mogućnost ubacivanja koda je opasan novi trend na polju mobilnih malvera. Kako se ovaj pristup može koristiti da se pokrenu maliciozni moduli čak i kada je „root“ pristup obrisan, bilo koja sigurnosna rješenja i bankarske aplikacije sa karakteristikama za detekciju „root“ pritstupa instalirana poslije infekcije, neće uspjeti da detektuju prisustvo malvera.
Međutim, modifikacije sistemskih biblioteka su rizičan proces koji može imati ozbiljne posljedice. Istraživanje je pokazalo da Dvamp malver obavještava svoj komandni i kontrolni server o svakom svom pokretu, iako komandni server nije poslao nikakve instrukcije. To ukazuje na činjenicu da malver još uvijek nije u potpunosti spreman i implementiran.
Dvamp je distriburian kao igrica putem Google Play Store platforme. Da bi premostili sigurnosne provjere na aplikaciji, kreatori malvera postavili su “čistu” aplikaciju na Google Store krajem marta 2017. godine, a zatim su je na kratko vrijeme ažurirali malicioznom verzijom prije nego što su ubacili drugu “čistu” verziju. U periodu od četiri sedmice ponovili su ovo najmanje pet puta.
Dvamp Trojan se instalira na uređaj žrtve u dva koraka. U prvoj fazi malver traži „root“ pristup na uređaju. Ukoliko je postupak uspješan, on dalje instalira brojne alate, od kojih neki sadrže komentare na Kineskom jeziku. Jedan od ovih modula je aplikacija „com.qualcmm.timeservices” koja povezuje trojan virus sa njegovim komandnim i kontrolnim serverom. Međutim, tokom perioda ispitivanja malver nije dobio nikakve povratne komande.
U glavnoj fazi infekcije, Trojan pokreće „start” file, provjerava verziju Androida na uređaju i odlučuje u koju biblioteku da ubaci kod. U sljedećem koraku, postojeći biva zamijenjen malicioznim kodom koji može uzrokovati gašenje ili kvar uređaja.
Ovako izmenjene sistemske biblioteke aktiviraju maliciozni modul koji isključuje opciju za verifikovanje aplikacija (VerifyApps), a zatim pokreće podešavanje za instalaciju sa nepoznatih izvora (Unknown sources), što omogućuje da aplikacija bude instalirana sa bilo kog mjesta, a ne samo sa Google Play Store platforme. Ovo može biti maliciozna ili nepoželjna advertising aplikacija.
- Dvamp Trojan, sa malicioznim kodom koji napada sistemske biblioteke odakle se teže otkriva i uklanja, predstavlja opasan novi trend na polju Android malvera. Korisnici koji nemaju adekvatnu zaštitu koja prepoznaje i blokira malver prije nego što ih napadne, imat će veliih problema. Vjerujemo da smo otkrili malver u veoma ranom stadijumu razvoja. Naša analiza pokazuje da maliciozni moduli izvještavaju napadače o kretanju malvera, dok neke tehnike mogu ozbiljno oštetiti inficirane uređaje. Vrijeme je ključan faktor ako namjeravamo da spriječimo veći i opasniji napad – izjavio je Roman Unuchek, viši malver analitičar u kompaniji Kaspersky Lab.
Korisnicima koji su zabrinuti da bi mogli biti inficirani Dvamp malverom kompanija Kaspersky Lab savjetuje da prave rezervne kopije svojih podataka i resetuju svoje uređaje na fabrička podešavanja. Povrh svega, Kaspersky Lab savjetuje sve korisnike da na svoje uređaje instaliraju pouzdana sigurnosna rješenja, kao što je Kaspersky Internet Security for Android, da se uvijek informišu o tome da li su aplikacije napravile provjereni autori, da redovno ažuriraju svoje operativne sisteme i softverske aplikacije, i da ne preuzimaju na svoj uređaj ništa što djeluje sumnjivo ili čiji se izvor ne može pouzdano utvrditi.