Pessime notizie per i possessori di terminali Android: il malware Dvmap ora è in grado di iniettare codice malevolo.
Secondo un report di The Register, il trojan Dvmap, nascosto in numerosi giochi sul Google Play store per mesi, è stato installato più di 50.000 volte,
“oltre ad installare i moduli maligni, inietta codice ostile nelle librerie runtime di sistema“.
Dopo aver ottenuto l’accesso di root per rilasciare i propri moduli, il sofisticato malware patcha l’accesso di root per mascherare le proprie tracce. È interessante notare che Dvmap funziona anche sulla versione a 64 bit di Android, può disattivare la funzionalità di protezione di Google Verify Apps e ha usato un approccio veramente nuovo e innovativo per evitare di essere rilevato da Google.
I creatori del trojan caricherebbero un’applicazione “pulita” su Google Play e quindi alternano aggiornamenti “maligni” per un breve periodo di tempo prima di sostituirla nuovamente con la versione pulita. I moduli inviano costantemente report agli autori del malware, portando i Kaspersky Labs, che hanno scoperto il trojan, a credere che fosse ancora in fase di sperimentazione.
L’obiettivo di Dvmap sembra essere quello di consentire l‘installazione di applicazioni con autorizzazioni a livello di root da store di terze parti. Kaspersky nota inoltre che Dvmap è in grado di mostrare annunci ed eseguire file scaricati da un server remoto. Mentre Kaspersky notava la connessione del server, durante il suo test non sono stati inviati file, il che implica che Dvmap non sia completamente operativo.
“L’introduzione della capacità di code-injection è una pericolosa novità nel malware mobile”, ha detto Kaspersky a The Register. “Poiché l’approccio può essere utilizzato per eseguire moduli dannosi anche con l’accesso root eliminato, qualsiasi soluzione di sicurezza e applicazioni bancarie con funzionalità di rilevamento root installate dopo l’infezione non individueranno la presenza del malware”.
Google lo sapeva da aprile
Kaspersky Labs ha rilevato il trojan in aprile e lo ha riferito a Google, che lo ha rimosso immediatamente dal Play Store. Mentre tutte le applicazioni incluse Dvmap non sono state nominate, Kaspersky raccomanda un backup dei dati e un ripristino di fabbrica per chiunque pensa possa essersi infettato.
Come comportarsi
Quindi, se hai scaricato un gioco negli ultimi mesi tramite Google Play, ti consigliamo di seguire i loro consigli.
