Werbung
Seit April 2017 nahmen sich Sicherheitsforscher von Kasperky Lab die Zeit einen neuen Trojaner zu beobachten, der direkt via Google Play verteilt wurde. Das zeigt zum einen, dass Google immer noch daran arbeiten sollte, die im Store zugelassenen Apps besser zu kontrollieren. Zum anderen erwies sich als alarmierend, was die neue Malware namens Trojan.AndroidOS.Dvmap.a auf dem Kasten hat.
So installiert der Schädlinge unter Android nicht nur neue Module, sondern schleust auch schädlichen Code direkt in die Runtime-Libraries des Betriebssystems ein. Das ist durchaus eine neue Qualität des Angriffs, denn dass Schadcode direkt in Systembibliotheken wie libdmv.so und libandroid_runtime.so injiziert wird, macht Dvmap besonders gefährlich. Denn bei Dvmap handelt es sich nun um die erste Malware, welche unter Android derart direkt und tief das Betriebssystem kompromittiert. Über den Play Store wurde Dvmap, versteckt in dem vermeintlichen Spiel „colourblock“, bereits über 50.000 mal heruntergeladen. Mittlerweile wurde jene Anwendung zum Glück entfernt.
Um die Sicherheitschecks im Play Store zu umgehen, zeigten sich die Malware-Macher kreativ. So luden sie zunächst eine saubere Version ihrer App hoch, durch ein Update kam dann aber der Trojaner ins Spiel. Damit Google nicht zu schnell Verdacht schöpfte, tauschten sie die schädliche gegen die saubere Version der App noch am gleichen Tag wieder aus. So wechselte man also bunt herum – mindestens fünf mal zwischen dem 18. April und dem 15. Mai 2017. Ebenfalls bemerkenswert: Der Trojaner Dvmap unterstützt sogar die 64-bit-Version von Android, was eher selten ist. Die Malware geht dabei in mehreren Phasen vor und versucht sich zunächst Root-Rechte zu sichern, um dann seine Module zu installieren. Sollten Root-Rechte erlangt werden, kommen weitere Tools ins Spiel.
In der nächsten Phase startet Dvmap einige seine eingeschleusten Dateien und macht sich an den Runtime-Bibliotheken für Dalvik bzw. ART zu schaffen. Durch das Patchen zahlreicher Systemdateien, was auch zu Abstürzen anderer Apps führen kann, schaltet Dvmap die Verifizierung von App-Installationen ab. Dadurch können nun auch weitere, schädliche Anwendungen aus unbekannten Quellen auf das jeweilige, mobile Endgerät gelangen. Auch sichert sich Dvmap auf dieser Stufe Administratorrechte. Dvmap könnte dann über einen Kommandoserver Befehle erhalten – etwa, um eben weitere Apps zu installieren, Daten auszuspionieren oder allerlei Werbung einzublenden. Laut Kaspersky Labs geschah dies beim Erforschen der Malware allerdings nicht, so dass die Personen hinter der Malware offenbar noch mit ihrem Schädling ganz generell experimentieren.
Da Dvmap relativ früh entdeckt und seine Funktionalität bekannt ist, sollte laut Kaspersky Lab hoffentlich ein größerer Angriff und Schaden vermieden worden sein. Zu denken gibt es aber schon, dass solch ein gefährlicher Schädling direkt über Google Play den Weg auf Tausende von Smartphones gefunden hat.