El malware Dvmap aparece en Google Play

Geraldine Varela

Nuevamente un virus malicioso que se distribuye a través de Google Play Store amenaza con afectar a usuarios de smarthphones. Se trata del malware Dvmap, capaz no solo de acceder a los privilegios de root en un teléfono inteligente [...]

Nuevamente un virus malicioso que se distribuye a través de Google Play Store amenaza con afectar a usuarios de smarthphones. Se trata del malware Dvmap, capaz no solo de acceder a los privilegios de root en un teléfono inteligente Android, sino que también puede tomar el control del dispositivo inyectando código en la biblioteca del sistema.

Pero su afectación no termina allí. Si tiene éxito, puede eliminar el acceso root, lo que le ayuda a evitar la detección. A la fecha, expertos en seguridad informática de Kaspersky Lab han detectado más de 50 mil descargas de este troyado desde Google Play desde marzo de 2017, a la fecha, Google ya retiró este virus de su plataforma.

La capacidad de inyectar código es una nueva y peligrosa evolución en el malware móvil. Dado a que ese método puede utilizarse para ejecutar módulos maliciosos incluso cuando el acceso root se ha eliminado, cualquier solución de seguridad y aplicación bancaria con funciones de detección de root que se instalen posterior a la infección, no podrán detectar la presencia del malware.

Le puede interesar: Saguaro, un malware con esencia latina

Sin embargo, la modificación de las bibliotecas del sistema es un proceso arriesgado que puede fracasar. Los investigadores observaron que el malware Dvmap sigue e informa todos sus movimientos a su servidor de mando y control, aunque el servidor de mando no respondió con instrucciones. Esto sugiere que el malware aún no está completamente listo o implementado.

La forma de engaño es distribuirse como un juego a través de la Google Play Store. Inicialmente, los cibercriminales creadores del malware subieron una aplicación no infectada a finales de marzo de 2017, esto con el propósito de evitar las verificaciones de seguridad de la tienda. Posteriormente, la actualizaron con una versión maliciosa durante un corto período de tiempo, antes de subir otra versión limpia. Durante cuatro semanas lo hicieron por lo menos cinco veces.

¿Cómo ataca?

Este troyano se instala en el celular de la víctima en dos etapas. Primero, durante la fase inicial, el malware intenta obtener privilegios de root en el dispositivo. Si tiene éxito, instalará un grupo de herramientas, algunas de las cuales llevan comentarios en idioma chino. Uno de estos módulos es una aplicación, “com.qualcmm.timeservices”, que conecta el troyano a su servidor de mando y control. Sin embargo, durante el período de investigación el malware no recibió ningún mando.

Luego, en la fase principal de la infección, el troyano lanza un archivo “start”, comprueba la versión de Android instalada y decide a qué biblioteca debe inyectar su código. El siguiente paso consiste en sobrescribir el código existente con el código malicioso, lo que puede causar que el dispositivo infectado se bloquee.

También: Muros sólidos contra malwares

Las bibliotecas del sistema recién reparadas ejecutan un módulo malicioso que puede desactivar la función ‘VerifyApps’. A continuación, se activa la configuración ‘Fuentes desconocidas’, que permite instalar aplicaciones desde cualquier lugar, no solo desde la Google Play Store. Pueden ser aplicaciones publicitarias maliciosas o no solicitadas.

“El troyano Dvmap marca un nuevo y peligroso desarrollo en el malware dirigido a Android al inyectar código malicioso en las bibliotecas del sistema, donde es más difícil de detectar y eliminar. Los usuarios que no cuentan con seguridad instalada que les permita identificar y bloquear esa amenaza antes de que se ponga en marcha, les espera un momento difícil. Creemos que hemos descubierto el malware en una etapa muy temprana. Nuestro análisis muestra que los módulos maliciosos informan todos sus movimientos a los atacantes y algunas técnicas pueden vulnerar los dispositivos infectados. El tiempo es esencial para evitar un ataque masivo y peligroso”, dijo Roman Unuchek, analista sénior de malware en Kaspersky Lab.

Los expertos recomiendan a los usuarios que hayan sido infectados por Dvmap hacer una copia de seguridad de toda su información y restablecer la configuración de fábrica.

Además, otra de las recomendaciones de seguridad es instalar en sus dispositivos una solución de seguridad confiable que siempre comprueben que las aplicaciones hayan sido creadas por un programador respetado, que mantengan su sistema operativo y software de aplicaciones actualizados y que no bajen nada que parezca sospechoso o cuya fuente no pueda verificarse.

Este artículo está clasificado como: , ,

Comentarios

Para poder comentar debe iniciar su sesión:

INGRESAR