מומחי מעבדת קספרסקי חשפו סוס טרויאני חדש וייחודי, המופץ דרך חנות האפליקציות הרשמית של גוגל, Google Play. לא רק שהסוס הטרויאני, המכונה Dvmap, מסוגל להשיג הרשאות ליבה למכשירי אנדרואיד, הוא גם מסוגל לקבל שליטה על המכשיר באמצעות הזרקת קוד זדוני לתוך ספריית המערכת. אם הווירוס מצליח בכך, הוא יכול למחוק את הגישה לליבה ובכך להימנע מזיהוי. הסוס טרויאני הורד מחנות האפליקציות של גוגל יותר מ- 50,000 פעמים מאז חודש מרץ 2017. מעבדת קספרסקי דיווחה על הטרויאני לגוגל, והוא הוסר מהחנות.
הופעתן של יכולות להזרקת קוד היא התפתחות מסוכנת בעולם הווירוסים במובייל. פעולה שכזו יכולה לשמש להפעלת מודולים של קוד זדוני אפילו לאחר מחיקת הגישה לליבה. בכך, כל פתרון אבטחה ואפליקציית בנקאות המתבססים על מאפיינים לזיהוי פריצה לליבה, שיותקנו לאחר ההדבקה, לא יזהו את הווירוס.
החוקרים הבחינו כי הקוד הזדוני Dvmap עוקב ומדווח על כל תנועה שלו לשרת הפיקוד והשליטה, למרות שהשרת לא ענה עם הוראות. הדבר מצביע על כך שהקוד הזדוני עדיין לא מוכן ומבצעי לחלוטין ונמנעה מתקפה.
Dvmap הופץ כמשחק בשם Colourblock בגוגל פליי. כדי לעקוף את בדיקות האבטחה של גוגל פליי, יוצרי הקוד הזדוני העלו תוכנה נקייה לחנות בסוף מרץ 2017. לאחר מכן הם עדכנו אותה בגרסה זדונית למשך זמן קצר, לפני שהעלו פעם נוספת את הגרסה הנקייה. בטווח של ארבעה שבועות הם עשו זאת לפחות חמש פעמים.
Dvmap מתקין את עצמו במכשיר הקורבן בשני שלבים: בשלב הראשון, הקוד הזדוני מנסה לקבל הרשאות גישה לליבת המכשיר. אם הוא מצליח, הוא יתקין כמה כלים, שחלק מהם מכילים הערות בשפה הסינית. אחד מהמודולים האלה הוא אפליקציה בשם com.qualcmm.timeservices, שמחברת את הטרויאני לשרת הפיקוד והשליטה שלו.
בשלב השני של ההדבקה, הטרויאני מפעיל קובץ הבודק את גרסת האנדרואיד המותקנת, ומחליט לאיזו ספריה להזריק את הקוד שלו. לאחר מכן הוא מחליף את הקוד הקיים בקוד הזדוני, ועלול לגרום למכשיר המודבק לקרוס.
ספריות המערכת המעודכנות מפעילות מודול זדוני שיכול לכבות את מאפיין ה- VerifyApps. לאחר מכן הוא מפעיל הגדרת התקנת אפליקציות ממקור לא מזוהה (מחוץ לחנות הרשמית של גוגל) ואלה יכולות להיות אפליקציות לפרסום בלתי מורשה או יישומים זדוניים לגניבת מידע, כופר או כל שימוש אחר שההאקרים בוחרים בו.
>> לעוד כתבות מעניינות - עקבו אחרינו גם בפייסבוק.