اولین بدافزار اندروید با code injection

Dvmap New Andriod Malware

بر اساس گزارشی در روزنامه The Register شرکتKaspersky کشف کرده است که تروجان Dvmap – سابقاً در درون برخی از بازی‌های فروشگاه Google Play ماه‌ها پنهان بود و 50000 بار ماژول مخرب خود را نصب کرد- حال ماژول‌های مخرب خود را اندروید نصب و کد مخرب خود را در system runtime libraries تزریق می‌کند.
پس از دسترسی به Root و ارسال payload، این بدافزار پیچیده برای از بین بردن ردپای خود “Root را patch” می‌کند. Dvmap نیز بر روی نسخه 64-bit اندروید کار می‌کند و می‌تواند قابلیت امنیتی Verify Apps گوگل را غیرفعال کند. این بدافزار از روشی کاملاً نوآورانه برای مخفی کردن خود از گوگل استفاده می‌کند.
سازندگان این تروجان سابقاً یک نسخه پاک را به بازار Google Play آپلود می‌کردند و در زمان‌های متفاوت آن را با اجزا بدافزار به‌روزرسانی می‌کردند و پس از مدتی کوتاه آن را مجدداً پاک می‌کردند. ماژول‌های آپلود شده به‌طور مستمر به سازندگان بدافزار گزارش ارسال می‌کردند و کارشناسان معتقد هستند که Dvmap هنوز در مراحل اول آزمایشی است. به نظر می‌رسد که هدف Dvmap فعال‌سازی نصب اپ ها با دسترسی به مجوزهای root از بازارهای شخص ثالث باشد. Dvmap نیز ممکن است تبلیغات و فایل‌های اجرایی دانلود شده را از سرورهای راه دور ارائه دهد. این بدافزار به نظر می‌رسد که هنوز کاملاً فعال نیست.
به گفته The Register، معرفی قابلیت code injection پیشرفت جدید و خطرناکی در بدافزارهای موبایلی به شمار می‌رود، چون می‌توان از این روش برای اجرای ماژول‌های مخرب حتی بدون حذف root access استفاده کرد و هر نوع راه‌حل امنیتی و اپ بانکی باقابلیت root-detection که پس از آلودگی نصب گردد نمی‌تواند وجود بدافزار را شناسایی کند. Kaspersky Labs این تروجان را در آوریل شناسایی نمود و آن را به گوگل گزارش کرد. گوگل نیز آن را فوراً از Play Store حذف کرد، اما همه اپ های آلوده به Dvmap را اسم نبرد.
بهترین روش برای مقابله با این بدافزار گرفتن backup از داده‌ها است و اگر گمان دارید آلوده‌شده‌اید تنها راه factory reset وسیله است. اگر در ماه‌های اخیر از گوگل پلی بازی دانلود کرده‌اید، بهتر است گوشی خود را محض احتیاط factory reset کنید.