Android
smartphone
Sistema operativo
Troyano
malware

Dvmap, un nuevo malware descubierto en Google Play diseñado para controlar dispositivos móviles

La nueva amenaza es capaz de conseguir derechos de acceso al administrador en un teléfono inteligente equipado con Android, además de hacerse con el control del dispositivo en sí.

Smartphones Android

Los analistas de Kaspersky Lab han descubierto un nuevo troyano en Google Play. Se trata del troyano Dvmap y es capaz de conseguir derechos de acceso al root (administrador) en un smartphone con sistema operativo Android. Pero, además, también puede hacerse con el control del dispositivo inyectando un código malicioso en la biblioteca del sistema.

¿En dónde radica la peligrosidad de este troyano? En que, si tiene éxito, puede borrar el acceso root, lo que ayuda a evitar la detección de tal amenaza. Asimismo, la capacidad de inyección de código es una novedad muy peligrosa en el malware para móviles. Como se puede utilizar para ejecutar módulos maliciosos, incluso con el acceso root borrado, cualquier solución de seguridad y cualquier aplicación bancaria con elementos de detección root que se instale después de la infección, no detectará la presencia del malware.

El troyano Dvmap se autoinstala en el dispositivo de la víctima siguiendo dos fases. Durante la inicial, el malware intenta asentarse en el dispositivo con acceso root. Si tiene éxito, instalará una serie de herramientas, algunas con comentarios en chino. Uno de estos módulos es una aplicación, “com.qualcmm.timeservices”, que conecta al troyano con su servidor C&C.

En la principal fase de infección, el troyano lanza un archivo “start” que comprueba la versión de Android instalada y decide en qué biblioteca va a inyectar el código. El siguiente paso consiste en rescribir el código con otro malicioso, que puede llevar al dispositivo infectado a fallar.

Las bibliotecas parcheadas ejecutan un módulo malicioso que apaga la función “VerifyApps” y conecta la configuración “Fuentes desconocidas”, que permite instalar aplicaciones desde cualquier lugar, no solamente desde la tienda de Google Play. Estas aplicaciones pueden ser tanto maliciosas como de publicidad no solicitada.

Sin embargo, la modificación de las bibliotecas del sistema es un proceso arriesgado que puede llegar a fallar. Los analistas observaron que el malware Dvmap rastrea e informa al servidor de comando y control de cada uno de sus movimientos, incluso aunque el servidor no responda con ninguna orden. Esto nos indica que el malware no está completamente funcionando o implementado.

Dvmap se ha distribuido como un juego a través de la tienda de Google Play, con más de 50.000 descargas desde marzo de 2017. Para evitar las comprobaciones de seguridad de la tienda, a finales de dicho mes los creadores del malware subieron una versión limpia de la aplicación. Después la actualizaron con una versión maliciosa, y al poco tiempo la cambiaron por una versión limpia de nuevo. En cuatro semanas, realizaron este mismo proceso al menos en cinco ocasiones.

Roman Unuchek, analista de malware senior en Kaspersky Lab, considera que “el troyano Dvmap pone ante nosotros un peligroso desarrollo del malware para Android, con un código malicioso que se introduce en las bibliotecas del sistema, donde es más complicado detectarlo y eliminarlo. Los usuarios que no disponen de la seguridad adecuada para identificar sobre la marcha y bloquear la amenaza antes de que explote, van a encontrarse en una situación muy difícil. Creemos que hemos identificado este malware en una fase de desarrollo inicial. Nuestro informe muestra que los módulos maliciosos informan a los ciberdelincuentes de cada uno de sus movimientos, y algunas de las técnicas pueden llegar a destruir los dispositivos infectados. El tiempo es esencial si queremos prevenir un ataque masivo y peligroso”.

Desde Kaspersky Lab se aconseja a todos los usuarios que instalen en su dispositivo una solución de seguridad fiable, como Kaspersky Internet Security for Android, comprobar siempre que las aplicaciones han sido creadas por un desarrollador con buena reputación, mantener actualizado su sistema operativo y el software de las aplicaciones, y no descargar nada que pueda parecer sospechoso o cuyo origen no pueda ser verificado.

INFORMACIÓN ADICIONAL

 

Prueba gratis durante 30 días Kaspersky Endpoint Security for Business Select.

 
 
Perfil profesional

Política de seguridad de las empresas, esa gran desconocida para los trabajadores españoles

Al igual que las amenazas, el gran enemigo de las empresas es el desconocimiento de sus políticas de seguridad por parte de los empleados. Al menos es la conclusión a la que llega un reciente estudio elaborado por Kaspersky Lab y B2B International. Conclusión palmaria: sólo un 14% de los empleados encuestados en España es plenamente consciente de las...

Perfil profesional

Claves para minimizar los ciberataques en 2018

La ciberdelincuencia se ha convertido en uno de los crímenes más rentables del siglo XXI. Lo saben las empresas y también los usuarios, que ponen todo de su parte para evitar ser víctimas de las fechorías de los ciberdelincuentes? O no. Porque siempre hay quien baja la guardia, de ahí la necesidad de refrescar una serie de consejos....