הודות לעירנות של מומחי מעבדת קספרסקי, הסירה גוגל מחנות האפליקציות Google Play קוד זדוני בשם Dvmap, שמצליח להשיג בנוסף להרשאות ליבה למכשירי אנדרואיד, גם אפשרות לקבל שליטה על המכשיר באמצעות הזרקת קוד זדוני לתוך ספריית המערכת. באם הוא מצליח בכך, הוא יכול למחוק את הגישה לליבה ובכך להימנע מזיהוי. הטרויאני הורד מ”גוגל פליי” יותר מ-50,000 פעמים מאז מרץ 2017.
הופעתן של יכולות להזרקת קוד היא התפתחות מסוכנת בעולם הקוד הזדוני למובייל. פעולה שכזו יכולה לשמש להפעלת מודולים של קוד זדוני אפילו לאחר מחיקת הגישה לליבה. בכך, כל פתרון אבטחה ואפליקציית בנקאות המתבססים על מאפיינים לזיהוי פריצה לליבה, אשר יותקנו לאחר ההדבקה, לא יזהו את נוכחות הקוד הזדוני.
החוקרים הבחינו כי הקוד הזדוני Dvmap עוקב ומדווח על כל תנועה שלו אל שרת הפיקוד והשליטה – למרות שהשרת לא ענה עם הוראות. הדבר מצביע על כך שהקוד הזדוני עדיין לא מוכן ומבצעי לחלוטין.
Dvmap מופץ כמשחק בחנות גוגל פליי. כדי לעקוף את בדיקות האבטחה של גוגל פליי, יוצרי הקוד הזדוני העלו תוכנה נקיה לחנות בסוף מרץ 2017. לאחר מכן הם עדכנו אותה בגרסה זדונית למשך זמן קצר, לפני שהעלו פעם נוספת את הגרסה הנקייה. בטווח של 4 שבועות הם עשו זאת לפחות 5 פעמים.
הטרויאני Dvmap מתקין את עצמו על גבי מכשיר הקורבן בשני שלבים. במהלך השלב הראשון, הקוד הזדוני מנסה לקבל הרשאות גישה לליבת המכשיר. אם הוא מצליח, הוא יתקין מספר כלים, שחלק מהם מכילים הערות בשפה הסינית. אחד מהמודולים האלה הוא אפליקציה, com.qualcmm.timeservices, אשר מחברת את הטרויאני לשרת הפיקוד והשליטה שלו. עם זאת, במהלך תקופת החקירה של הקוד הזדוני, לא נשלחו שום פקודות בחזרה.
בשלב המרכזי של ההדבקה, הטרויאני מפעיל קובץ “התחלה”, בודק את גרסת האנדרואיד המותקנת, ומחליט לאיזו ספריה להזריק את הקוד שלו. הצעד הבא, החלפת הקוד הקיים בקוד הזדוני, יכול לגרום למכשיר המודבק לקרוס. ספריות המערכת המעודכנות מפעילות מודול זדוני אשר יכול לכבות את מאפיין ה- VerifyApps. לאחר מכן הוא מפעיל הגדרת Unknown sources, המאפשרת לו להתקין אפליקציות מכל מקום, לא רק מחנות גוגל פליי. אלה יכולות להיות אפליקציות לפרסום בלתי מורשה או יישומים זדוניים.
“הטרויאני Dvmap מסמן התפתחות חדשה בקוד הזדוני של אנדרואיד, כשהקוד הזדוני מזריק את עצמו לתוך ספריות המערכת, שם קשה יותר לזהות ולהסיר אותו. למשתמשים שלא מפעילים אמצעי אבטחה כדי לזהות ולחסום את האיום לפני שהוא פורץ פנימה, צפויים זמנים קשים. אנו מאמינים כי חשפנו את הקוד הזדוני בשלב מוקדם מאוד. הניתוח שלנו מראה כי המודולים הזדוניים מדווחים לתוקפים על כל מהלך, וחלק מהטכניקות שבשימוש יכולות לגרום להשבתת המכשיר הנגוע. זמן הוא גורם קריטי, אם אנו רוצים למנוע התקפה נרחבת ומסוכנת”, אמר רומן אונצ’ק, אנליסט קוד זדוני בכיר, מעבדת קספרסקי.