Dvmap, malware descubierto en Google Play con una nueva técnica para controlar dispositivos móviles

Los analistas de Kaspersky Lab han descubierto un nuevo troyano en Google Play. El troyano Dvmap es capaz no sólo de conseguir derechos de acceso al root (administrador) en un smartphone con sistema operativo Android, sino que también puede hacerse con el control del dispositivo inyectando un código malicioso en la biblioteca del sistema.

Si tiene éxito, puede borrar el acceso root, lo que ayuda a evitar la detección. Desde marzo de 2017, el troyano se ha descargado desde Google Play en más de 50.000 ocasiones. Después de que la firma de antivirus avisara a Google, el troyano se eliminó de la tienda.

Dvmap inyecta código en Android

La capacidad de inyección de código es una novedad muy peligrosa en el malware para móviles. Como se puede utilizar para ejecutar módulos maliciosos, incluso con el acceso root borrado, cualquier solución de seguridad y cualquier aplicación bancaria con elementos de detección root que se instale después de la infección, no detectará la presencia del malware.

Sin embargo, la modificación de las bibliotecas del sistema es un proceso arriesgado que puede llegar a fallar. Los analistas observaron que el malware Dvmap rastrea e informa al servidor de comando y control de cada uno de sus movimientos, incluso aunque el servidor no responda con ninguna orden. Esto nos indica que el malware no está completamente funcionando o implementado.

Burlando la seguridad de Play Store

Dvmap se ha distribuido como un juego a través de la tienda de Google Play. Para evitar las comprobaciones de seguridad de la tienda, a finales de marzo de 2017, los creadores del malware subieron una versión limpia de la aplicación.

Después la actualizaron con una versión maliciosa, y al poco tiempo la cambiaron por una versión limpia de nuevo. En cuatro semanas, realizaron este mismo proceso al menos en cinco ocasiones.

El troyano Dvmap se autoinstala en el dispositivo de la víctima siguiendo dos fases. Durante la fase inicial, el malware intenta asentarse en el dispositivo con acceso root. Si tiene éxito, instalará una serie de herramientas, algunas con comentarios en chino.

Uno de estos módulos es una aplicación, “com.qualcmm.timeservices”, que conecta al troyano con su servidor C&C.

Así funciona el ataque

En la principal fase de infección, el troyano lanza un archivo “start” que comprueba la versión de Android instalada y decide en qué biblioteca va a inyectar el código. El siguiente paso consiste en rescribir el código con un código malicioso que puede llevar al dispositivo infectado a fallar.

Las bibliotecas parcheadas ejecutan un módulo malicioso que apaga la función “VerifyApps”, y conecta la configuración “Fuentes desconocidas”, que permite instalar aplicaciones desde cualquier lugar, no solamente desde la tienda de Google Play. Estas aplicaciones pueden ser tanto maliciosas como de publicidad no solicitada.

Kaspersky detecta este malware como Trojan.AndroidOS.Dvmap.a. Te recomendamos tener un antivirus fiable en tu smartphone o tablet para evitar este tipo de ataque.

Algunos datos:

  • Desde marzo de 2017, el troyano descubierto por Kaspersky Lab se ha descargado desde Google Play en más de 50.000 ocasiones 
  • Como se puede utilizar para ejecutar módulos maliciosos, incluso con el acceso root borrado, las soluciones de seguridad y apps bancarias con elementos de detección root que se instalen después de la infección, no detectan la presencia del malware
  • Dvmap se ha distribuido como un juego a través de Google Play. Para evitar las comprobaciones de seguridad de la tienda Google, a finales de marzo de 2017, los creadores del malware subieron una versión limpia de la aplicación