На Google Play в приложении colourblock обнаружен троян

Он не только устанавливает свои модули в системе, но и внедряет вредоносный код в системные библиотеки среды выполнения

В магазине приложений Google появился новый тип вредоносных программ с инъекцией кода.
Об этом сообщили специалисты Лаборатории Касперского.

Зловред обозначают Trojan.AndroidOS.Dvmap.a, его заметили в приложении colourblock. Он устанавливает свои модули в системе и внедряет вредоносный код в системные библиотеки среды выполнения. Это первый зловред такого типа.

Рутовальщиков в Google Play не мало.

Но Dvmap – первый зловред для Android, который внедряет вредоносный код в системные библиотеки во время выполнения. На момент подготовки текста троянец был скачан из магазина Google Play уже более 50 000 раз.

Лаборатория Касперского сообщила о троянце в Google, и его убрали из магазина.

Троянец поддерживает и 64-битную версию Android – такое бывает очень редко

На начальном этапе троянец пытается получить root-права на зараженном устройстве и установить некоторые модули. Все архивы, актуальные для этого этапа, содержат одни и те же файлы, за исключением файла ‘common’. Это эксплойт-пак, с помощью которого троянец получает root-права. В разных архивах лежат три файла для 32-битных систем и 1 файл для 64-битных. Если эти файлы успешно получают root-права, то троянец устанавливает в систему несколько утилит, а также вредоносное приложение ‘com.qualcmm.timeservices’. В этих архивах содержится файл ‘.root.sh’, в котором есть комментарии на китайском языке.

Троянец распространялся через магазин Google Play и использует целый ряд очень опасных приемов. Патчит системные библиотеки и устанавливает в систему вредоносные модули с функциональностью, отличной от функциональности исходных модулей.

Его цель закрепиться в системе и выполнить загруженные файлы с root-правами

За время исследования таких файлов с командного сервера не поступило.

Данный троянец сообщает практически о каждом своем действии злоумышленникам. Это наводит на мысль, что злоумышленники все еще тестируют своего троянца, ведь некоторые из используемых им приемов могут вывести зараженное устройство из строя.

Троянцем уже заражено довольно много устройств, так что у злоумышленников есть где тестировать свои методы.

Подробнее: https://securelist.ru/dvmap-pervyj-zlovred-dlya-android-s-inekciej-koda/30877/


Тэги: вирус,

Написать комментарий

Внимание: HTML не поддерживается! Используйте обычный текст.
    Плохо           Хорошо