Dvmap: Die erste Android-Malware mit Code-Injektion

Die Sicherheits-Experten von Google konnten erneut eine App aus dem offiziellen Play Store entfernen, die einen gefährlichen Trojaner beherbergt. Bisher so noch nicht gesehen, der Trojaner mit Namen “Dvmap” injiziert seinen Schadcode direkt in die Systemlaufzeitbibliotheken des Android-Gerätes.

Bevor die Experten von Kaspersky den Trojaner entdeckten, konnte sich die Malware als legitime Puzzle-Spiel App mit Namen “Colourblock” (50.000 Downloads) im Play Store verstecken. Während die Verbreitung von Malware über den Online-Marktplatz von Google nichts Neues ist, zeichnet sich “Dvmap” laut den Sicherheitsexperten durch mehrere, sehr “gefährliche Techniken” aus.

Bild: securelist.com – Colourblock Puzzelspiel

Im ersten Schritt: Um die Google Play Store-Sicherheitskontrollen zu umgehen, verwendeten die Malware-Entwickler eine sehr interessante Methode: Sie haben Ende März 2017 eine saubere App in den Play Store hochgeladen und dann kurzfristig durch eine bösartige Version aktualisiert. Aufgefallen ist den Experten, dass die “Colourblock” App nicht nur einmal, sondern in einem Zeitraum zwischen dem 18. April und dem 15. Mai mindestens fünf Mal aktualisiert und geändert wurde.

Während die “Colourblock” App auf das Gerät installiert wird, entpackt sich die Malware und fordert Root-Berechtigungen ein, um diverse Module wie u.a. Root-Exploit-Pakete für 32Bit-, wie auch für 64Bit-Systeme zu entpacken. Mit den erlangten Rechten installiert der Trojaner zudem mehrere Tools ,wie die schädliche App “com.qualcmm.timeservices” auf dem betroffenen System. Wurden alle Archive der Malware auf dem System entpackt, startet die Malware nach Ermittlung der vorliegenden Android-Version die komplette Übernahme. Über einen Patchvorgang werden Runtime-Systembibliotheken und Systemverzeichnisse komplett überschrieben bzw. ersetzt. Mitunter wird dieser Vorgang mit diversen Abstürzen des Gerätes quittiert.

Das Ziel dieser Malware ist das gleiche, wie das Ziel der meisten Rooting Malware: Aggressives Schalten von Werbungen und der Download von kostenpflichtigen Drittanbieter-Apps.

Experten spekulieren: Die Malware-Module berichten über jeden einzelnen Schritt ihrer Tätigkeit, was grundsätzlich auf eine Beta-Phase schließen lässt.

Colourblock wurde bereits aus dem Google Play Store entfernt. Um sich gegen “Dvmap” zu schützen, sollten Benutzer eine Antiviren-Software (z.B. dem kostenfreien Botfrei EU-Cleaner Mobile) auf ihren Geräten installieren. Weiterhin sollte darauf geachtet werden, nicht jede App willkürlich auf dem Gerät zu installieren, ein aufmerksames Lesen der Rezensionen könnte bereits Aufschluss über die App geben.

Anwendern, die sich möglicherweise mit der Malware “Dvmap” infiziert haben, kann man leider wenig helfen. Das Bereinigen des Gerätes hat wenig Sinn, da sich die Malware zu tief ins System integriert und dabei zu viele Systeminhalte verändert bzw. überschrieben werden. Wir von botfrei.de empfehlen einen sauberen Schnitt zu machen, also alle wichtigen Daten zu sichern und das Gerät in den Werkszustand zurückzusetzen.

Bild: securelist.com; pixabay.com