Android-Trojaner Dvmap kompromittiert Systeme wie kein anderer
Sicherheitsforscher warnen vor einem Schädling in Google Play, der Android-Geräte mit bisher unbekannten Methoden komplett in seine Gewalt bringen kann.
(Bild: Kaspersky)
Kaspersky ist eigenen Angaben zufolge in Google Play auf eine äußerst gefährliche App namens "colourblock" gestoßen. Den darin versteckten Schädling haben sie Dvmap getauft. Während ihrer Untersuchung haben sie einige neue Ansätze entdeckt, wie die Malware Geräten zusetzt.
Die App sollen mehr als 50.000 Nutzer heruntergeladen haben. Mittlerweile hat Google den Trojaner aus seinem Store entfernt. Derzeit geht Kaspersky davon aus, dass die Malware-Entwickler Dvmap noch testen und noch nicht im großen Stil verbreiten.
Damit beim Upload von Dvmap in den App Store keine Sicherheitsmechanismen von Google anspringen, sollen die Entwickler des Trojaner im März dieses Jahres zuerst eine "saubere" App hochgeladen haben. Kurz danach haben sie diese mit Malware-Komponenten angereichert, erläutert Kaspersky. Warum dabei kein Alarm bei Google losging, ist derzeit unklar.
Unbekannt ist zur Zeit auch noch, für welche Zwecke die Drahtzieher kompromittierte Geräte missbrauchen wollen. Dvmap hat sich während der Untersuchung von Kaspersky bereits mit Command-and-Control-Servern verbunden, aber zu dem Zeitpunkt noch keine Befehle entgegengenommen, schildern die Sicherheitsforscher. Sie spekulieren, dass Dvmap zum Beispiel Werbung einblenden und weitere Malware-Apps nachladen könnte.
Mehr als Rooten
Ist die App auf einem Gerät installiert, leitet sie diverse Maßnahmen ein, damit die Angreifer die volle Kontrolle erlangen können. Dafür soll Dvmap diverse von Kaspersky nicht näher beschriebene Exploits nutzen, um verschiedene Android-Versionen zu rooten. Das Rooten via Malware ist nicht neu, doch Dvmap kombiniert diesen Vorgang mit weiteren, bisher noch nicht beobachteten Praktiken.
Kaspersky zufolge ist Dvmap einer der wenigen Android-Trojaner, der auch auf 64-Bit-Systeme zugeschnitten ist. Ein weiteres Novum ist, dass der Schädling System-Bibliotheken mit Schadcode verseuchen kann. So nisten sich die Malware-Entwickler noch tiefer im System ein und stellen sicher, dass von ihnen manipulierte Module mit System-Rechten ausgeführt werden. Zudem sollen sie so Apps Admin-Rechte verschaffen können, ohne dass das Opfer davon etwas mitbekommt. Das muss ein Opfer sonst in einem Dialog explizit abnicken.
[UPDATE 09.06.2017 12:50 Uhr]
Zweck von infizierten Geräten im Fließtext ergänzt. (des)
