50,000 הורדות בחנות "גוגל פליי" לקוד הזדוני Dvmap המשתמש בטכניקה חדשה לשליטה במכשירים

0

מומחי מעבדת קספרסקי חשפו טרויאני חדש וייחודי, המופץ דרך חנות האפליקציות של גוגל, Google Play. לא רק שהטרויאני Dvmap מסוגל להשיג הרשאות ליבה למכשירי אנדרואיד, הוא גם מסוגל לקבל שליטה על המכשיר באמצעות הזרקת קוד זדוני לתוך ספריית המערכת. באם הוא מצליח בכך, הוא יכול למחוק את הגישה לליבה ובכך להימנע מזיהוי. הטרויאני הורד מ"גוגל פליי" יותר מ- 50,000 פעמים מאז מרץ 2017. מעבדת קספרסקי דיווחה על הטרויאני לגוגל, והוא הוסר מהחנות.

הופעתן של יכולות להזרקת קוד היא התפתחות מסוכנת בעולם הקוד הזדוני למובייל. פעולה שכזו יכולה לשמש להפעלת מודולים של קוד זדוני אפילו לאחר מחיקת הגישה לליבה. בכך, כל פתרון אבטחה ואפליקציית בנקאות המתבססים על מאפיינים לזיהוי פריצה לליבה, אשר יותקנו לאחר ההדבקה, לא יזהו את נוכחות הקוד הזדוני.
החוקרים הבחינו כי הקוד הזדוני Dvmap עוקב ומדווח על כל תנועה שלו אל שרת הפיקוד והשליטה – למרות שהשרת לא ענה עם הוראות. הדבר מצביע על כך שהקוד הזדוני עדיין לא מוכן ומבצעי לחלוטין.
Dvmap מופץ כמשחק בחנות גוגל פליי. כדי לעקוף את בדיקות האבטחה של גוגל פליי, יוצרי הקוד הזדוני העלו תוכנה נקיה לחנות בסוף מרץ 2017. לאחר מכן הם עדכנו אותה בגרסה זדונית למשך זמן קצר, לפני שהעלו פעם נוספת את הגרסה הנקייה. בטווח של 4 שבועות הם עשו זאת לפחות 5 פעמים.
הטרויאני Dvmap מתקין את עצמו על גבי מכשיר הקורבן בשני שלבים. במהלך השלב הראשון, הקוד הזדוני מנסה לקבל הרשאות גישה לליבת המכשיר. אם הוא מצליח, הוא יתקין מספר כלים, שחלק מהם מכילים הערות בשפה הסינית. אחד מהמודולים האלה הוא אפליקציה, com.qualcmm.timeservices, אשר מחברת את הטרויאני לשרת הפיקוד והשליטה שלו. עם זאת, במהלך תקופת החקירה של הקוד הזדוני, לא נשלחו שום פקודות בחזרה.
בשלב המרכזי של ההדבקה, הטרויאני מפעיל קובץ "התחלה", בודק את גרסת האנדרואיד המותקנת, ומחליט לאיזו ספריה להזריק את הקוד שלו. הצעד הבא, החלפת הקוד הקיים בקוד הזדוני, יכול לגרום למכשיר המודבק לקרוס.
ספריות המערכת המעודכנות מפעילות מודול זדוני אשר יכול לכבות את מאפיין ה- VerifyApps. לאחר מכן הוא מפעיל הגדרת Unknown sources, המאפשרת לו להתקין אפליקציות מכל מקום, לא רק מחנות גוגל פליי. אלה יכולות להיות אפליקציות לפרסום בלתי מורשה או יישומים זדוניים.
"הטרויאני Dvmap מסמן התפתחות חדשה בקוד הזדוני של אנדרואיד, כשהקוד הזדוני מזריק את עצמו לתוך ספריות המערכת, שם קשה יותר לזהות ולהסיר אותו. למשתמשים שלא מפעילים אמצעי אבטחה כדי לזהות ולחסום את האיום לפני שהוא פורץ פנימה, צפויים זמנים קשים. אנו מאמינים כי חשפנו את הקוד הזדוני בשלב מוקדם מאוד. הניתוח שלנו מראה כי המודולים הזדוניים מדווחים לתוקפים על כל מהלך, וחלק מהטכניקות שבשימוש יכולות לגרום להשבתת המכשיר הנגוע. זמן הוא גורם קריטי, אם אנו רוצים למנוע התקפה נרחבת ומסוכנת", אמר רומן אונצ'ק, אנליסט קוד זדוני בכיר, מעבדת קספרסקי.

למשתמשים המודאגים שהודבקו על ידי Dvmap מומלץ לגבות את כל הנתונים שלהם ולבצע אתחול להגדרות המפעל. בנוסף, מעבדת קספרסקי מייעצת לכל המשתמשים להתקין פתרון אבטחה אמין, כגון Kaspersky Internet Security for Android החינמי, ותמיד לבדוק כי אפליקציות נוצרו על ידי מפתח מוכר, לשמור את מערכת ההפעלה והאפליקציות מעודכנות, ולא להוריד שום דבר שנראה חשוד או שלא ניתן לאמת את המקור שלו. כל מוצרי קספרסקי מזהים את הטרויאני כ- Trojan.AndroidOS.Dvmap.a.
למידע נוסף – ראו כאן


שתף

אודות מחבר

Menachem Marom

שינוי גודל גופנים
ניגודיות