DE|EN

Android-Benutzer aufgepasst: DVMap-Trojaner infiziert Euer Android

Nachdem die Sicherheitsforscher von Kaspersky Labs um Roman Unuchek einen gefährlichen Trojaner entdeckt hatten, hat Google aus seinem offiziellen Play Store die Android-App mit dem Namen „colourblock“ entfernt.

Linux-Experte, Linux-Spezialist, IT-Security-Experte, DVMap-Trojaner

Bis zu der Entfernung dieser App von der Play Store-Plattform wurde sie bereits über 50.000 Mal auf Android-Devices heruntergeladen. Das ist zwar insgesamt im Vergleich zu anderen Trojanern gering, vor dem Hintergrund, dass die App März 20017 auf die Plattform hochgeladen wurde, ist das bereits viel.

Anfangs wurde nur eine harmlose Version der App den Nutzern zur Verfügung gestellt, bis dann zwischen dem 14.April und dem 15. Mai der Entwickler den sauberen Code der App mindestens fünfmal gegen Code mit bösartigen Inhalten umschaltete und jedes Mal einen Tag später wieder die saubere Version zur Verfügung stellte.

Diese vier kleinen Salven mit schadhaften Updates übertrugen somit einen Trojaner an alle Benutzer, die colourblock während diesem Zeitfenster aktualiserten.

DVMap-Trojaner zielt auf die Android-core-Systemprozesse

Ist die App auf einem Gerät installiert, initialisiert sie diverse Maßnahmen, um dem Angreifer die volle Kontrolle über das Device erlangen zu lassen. Dafür soll Dvmap diverse von Kaspersky fünf nicht näher beschriebene Exploits nutzen, um verschiedene Android-Versionen zu rooten.
Während drei dieser Exploit-Pakete auf Android-Geräte zielten, die auf 32-Bit-Systemen laufen, setzte das vierte Exploit-Paket Geräte mit 64-Bit-Plattformen in seinen Fokus.

Sobald der Trojaner mit diesen Root-Pakete das Gerät erfolgreich rooten konnte, besitzt er Root-Privilegien, die der Trojaner später nutzen kann, um das Android-System über den Android System-Server Prozess manipulieren zu können.

Andererseits kann DVMap sich in den libdvm.so Prozess bei Android 4.4.4 und führer injizieren oder bei Geräten bis Android 5 den libandroid_runtime.so Prozess infizieren.

Laut Unuchek enthält der DVMap-Trojaner Code, der es ermöglicht, die "VerifyApps" auszuschalten. Das ist eine leistungsstarke Google-Sicherheitsfunktion, die in allen Android-Geräten integriert ist, um damit schädliche Android-Apps erkennen zu können.

Sobald diese Funktion deaktiviert ist, ist der DVMap-Trojaner in der lage, Apps von Drittanbietern ohne Sicherheitsabfrage durch VerifyApps auf dem Gerät des Benutzers zu installieren.