Dvmap: Android-Trojaner mit neuer Infektionsstrategie im Play Store entdeckt

Keine Kommentare
 

Android-Trojaner, die sich durch das Ausnutzen von Sicherheitslücken Root-Rechte verschaffen, sind eigentlich nichts Neues. Die unlängst in Googles Play Store entdeckte Malware “Dvmap” baut diese Technik allerdings zu einer Infektionsstrategie aus, die es so bislang noch nicht gab. Mittels Code Injection nimmt sie dauerhafte Änderungen an Laufzeitbibliotheken vor – und sichert sich auf diese Weise umfassende Systemprivilegien.


PlayStore grafiken

Dvmap: Android-Trojaner mit neuer Infektionsstrategie im Play Store entdeckt (Pixabay.com / JuralMin)

Sicherheitsforscher des AV-Herstellers Kaspersky entdeckten Dvmap bereits Ende März, veröfffentlichten ihre Beobachtungen jedoch erst Anfang Juni. Während dieses Zeitraums wurde die – als unterhaltsame Spiele-App mit dem Titel “Colourblock” getarnte – Malware mehr als 50 000 mal heruntergeladen. Um nicht aufzufliegen, luden die Entwickler zunächst eine “saubere” Version ihrer App hoch. Per Update fügten sie später den Schadcode hinzu,
den sie in unregelmäßigen Abständen immer wieder durch die saubere Variante ersetzten. Kaspersky beobachtete mindestens fünf solcher Updates innerhalb eines knappen Monats.

Malware befällt auch 64-Bit-Systeme

Zum Rooten infizierter Geräte nutzt Dvmap laut Kaspersky gleich vier verschiedene Exploits. Um welche es sich dabei im Einzelnen handelt, verrät der Hersteller – wohl aus taktischen Gründen – jedoch nicht. Ungewöhnlich ist jedenfalls, dass neben drei Exploit-Packs, die auf 32-Bit-Systeme abzielen, auch eines zum Einsatz kommt, das speziell für 64-Bit-Android-Versionen konzipiert wurde. Gelingt ein Exploit, nutzt Dvmap seine neu erlangten Root-rechte, um diverse Malware-Tools und -Komponenten auf dem Gerät zu installieren. Dazu gehört auch eine weitere App mit dem Namen “com.qualcmm.timeservices”.

Manipulation von System-Bibliotheken

Im Anschluss an die Installation startet die Hauptphase des Infektionsprozesses. Je nach Android-Version greift Dvmap hierbei auf eine andere Programmbibliothek zu. Bei älteren Android-Versionen einschließlich 4.4.4 patcht der Trojaner die Funktion _Z30dvmHeapSourceStartupBeforeForkv aus libdvm.so; ab Version 5 überschreibt er stattdessen Code-Zeilen der Funktion nativeForkAndSpecialize aus der Bibliothek libandroid_runtime.so. In beiden Fällen sorgt der Patch dafür, dass aus der Funktion heraus nur noch ein bestimmtes Systemverzeichnis – nämlich /system/bin/ip – aufgerufen werden kann. Dvmap erstellt vor dem Patchen ein Backup der (umbenannten) Original-Datei, bevor er die manipulierte Version an ihrer Stelle im Systemordner ablegt.

Code Injection sorgt für Systemrechte

Im Anschluss an die beschriebene Code Injection ersetzt die Malware noch die Datei in /system/bin/ip durch eigenen Schadcode. Dieser wird nun automatisiert immer dann aufgerufen, wenn eine beliebige Anwendung auf dem Gerät eine der gepatchten Bibliotheks-Funktionen nutzt. Die Konsequenz sind Root-Rechte für die Malware. Sie nutzt diese unter anderem, um “VerifyApps” zu deaktivieren – eine von Google entwickelte Schutzfunktion vor Malware-Apps. Vor allem aber gewährt sie der bereits erwähnten “com.qualcmm.timeservices”-App Administrator-Rechte, ohne dass eine Interaktion bzw. Bestätigung durch den Nutzer benötigt wird.

“com.qualcmm.timeservices” ist laut Kaspersky Dvmaps Command-and-Control-Komponente. Während der Analyse konnten die Sicherheitsforscher allerdings keinerlei Client-Server-Kommunikation feststellen. Sie gehen deshalb davon aus, dass sich Dvmap noch in der Entwicklungs- und Testphase befindet. Endanwender können also ein wenig aufatmen: Die Chancen für die Entwicklung wirkungsvoller Abwehrmechanismen auf Basis verfügbarer Samples stehen gut.

Über Browser Security

Browser Security ist Ihr Browser-Add-on zum Schutz vor Phishing-Domains und gefährlichen Malware-Angriffen. Vertrauen Sie unserer Live-Protection und der E-Mail-Kontrolle für ein bedenkenloses Surf-Erlebnis und schützen Sie sich effektiv vor Datenklau!

 
Keine Kommentare

Kommentar hinterlassen