0 |
В апреле специалисты «Лаборатории Касперского» зафиксировали активность нового троянца-рутовальщика, распространявшегося через магазин Google Play. В отличие от других рутовальщиков, он не только устанавливает свои модули в системе, но и внедряет вредоносный код в системные библиотеки среды выполнения. Продукты «Лаборатории Касперского» детектируют его как Trojan.AndroidOS.Dvmap.a.
Распространение рутовальщиков через Google Play — явление не новое. Например, троянец Ztorg с сентября 2016 г. загружался на Google Play почти сто раз. Однако, Dvmap — это очень особенный рутовальщик: в нем используется целый ряд новых методов. Но самое интересное, что он внедряет вредоносный код в системные библиотеки libdmv.so или libandroid_runtime.so.
Таким образом, получается, что Dvmap — это первый зловред для Android, который внедряет вредоносный код в системные библиотеки во время выполнения. На момент подготовки текста троянец был скачан из магазина Google Play уже более 50 тыс. раз. «Лаборатория Касперского» сообщила о троянце в Google, и его убрали из магазина.
Чтобы обойти проверку на безопасность приложений, выкладываемых в Google Play, создатели троянца использовали очень интересный прием: загрузив в конце марта 2017 г. в магазин «чистое» приложение, они потом несколько раз публиковали вредоносное обновление к нему. Вредоносная версия публиковалась ненадолго — обычно в тот же день в магазин возвращалась «чистая» версия программы. В период с 18 апреля по 15 мая такая замена произошла по крайней мере 5 раз.
Троянец использует целый ряд очень опасных приемов, в частности патчит системные библиотеки и устанавливает в систему вредоносные модули с функциональностью, отличной от функциональности исходных модулей. Судя по всему, его основная цель — закрепиться в системе и выполнить загруженные файлы с root-правами. При этом за время исследования таких файлов с командного сервера не поступило.
Данный троянец сообщает практически о каждом своем действии злоумышленникам. Это наводит на мысль, что злоумышленники все еще тестируют своего троянца, ведь некоторые из используемых им приемов могут вывести зараженное устройство из строя. При этом троянцем уже заражено довольно много устройств, так что у злоумышленников есть где тестировать свои методы.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
0 |