Notícias

Novo malware consegue controlar dispositivos Android, alerta a Kaspersky

Um malware para Android tem sido distribuído na Play Store e consegue assumir o controle do dispositivo. A descoberta foi feita pela Kaspersky Lab. Segundo a empresa, o Dvmap é um cavalo de Troia que obtém direitos de acesso à raiz do smartphone. Ele é capaz de injetar código malicioso na biblioteca do sistema e, quando bem-sucedido, é difícil de ser detectado.

O cavalo de Troia circula na loja da Google desde março de 2017. Neste período, já foi baixado mais de 50 mil vezes. A Kaspersky Lab já reportou à empresa, que removeu o malware da Play Store. O Dvmap era distribuído como um jogo. Para burlar as verificações de segurança da loja, os desenvolvedores carregaram um aplicativo limpo na loja no final de março de 2017.

Depois, o app foi atualizado com uma versão maliciosa, que durou um curto período, antes do carregamento de outra versão limpa. No espaço de quatro semanas, isso foi feito pelo menos cinco vezes. Ao obter o acesso à raiz do smartphone, o Dvmap poderia conseguir executar módulos maliciosos mesmo depois de eliminar o acesso à raiz. Assim, as soluções de segurança e os aplicativos de bancos com recursos de detecção instalados após a infecção não conseguirão identificar a presença do malware.

Desde março deste ano, malware já foi baixado mais de 50 mil vezes. Cavalo de Troia já foi retirado da Play Store

Como o malware Dvmap trabalhava?

A instalação do cavalo de Troia Dvmap no dispositivo da vítima ocorre em dois estágios. Na fase inicial, o malware tenta obter direitos de acesso à raiz do dispositivo. Quando consegue, ele instala diversas ferramentas; algumas incluem comentários em chinês. Um desses módulos é um aplicativo, “com.qualcmm.timeservices”, que conecta o cavalo de Troia a seu servidor de comando e controle. Porém, durante toda a investigação, ele não recebeu nenhum comando de volta.

Na fase principal da infecção, o cavalo de Troia executa um arquivo “inicial”, verifica a versão do Android instalada e decide em qual biblioteca vai injetar seu código. Na etapa seguinte, o código existente é substituído pelo código malicioso, o que pode fazer o dispositivo infectado travar.

As bibliotecas do sistema recém-corrigidas executam um módulo malicioso capaz de desativar o recurso ‘VerifyApps’ (Verificação de aplicativos). Em seguida, ele ativa a configuração ‘Unknown sources’ (Fontes desconhecidas), permitindo a instalação de aplicativos de qualquer origem, não apenas da Google Play Store. Esses aplicativos podem incluir programas maliciosos ou de publicidade não solicitada.

Fui infectado! E agora?

Os usuários que suspeitam ter sido infectados pelo Dvmap devem fazer backup de todos os seus dados e executar uma restauração dos dados de fábrica. Além disso, a Kaspersky Lab recomenda que todos os usuários instalem em seus dispositivos uma solução de segurança confiável. Outras medidas são sempre verificar se os aplicativos foram criados por um desenvolvedor respeitável, manter o software do sistema operacional e dos aplicativos atualizado e não baixar nada que pareça minimamente suspeito ou cuja origem não possa ser confirmada.

Fotos: Reprodução/Internet; Sam Spratt/Gizmodo

IBM e Startup Farm anunciam programa de aceleração de startups
Previous post

IBM e Startup Farm anunciam programa de aceleração de startups

webOS 3.5 não deve chegar a modelos antigos de smart TVs da LG
Next post

webOS 3.5 não deve chegar a modelos antigos de Smart TVs da LG

Thulio Falcão

Thulio Falcão

Eu sou jornalista e gosto de brindar. Na falta de um par, brindo só. O importante é o copo cheio. Nada melhor que jogar videogame ou discutir tecnologia num boteco de esquina.