Dvmap, bo tak został nazwany, potrafi uzyskać prawa dostępu na poziomie administratora, a także przejąć kontrolę nad urządzeniem poprzez umieszczenie złośliwego kodu w bibliotece systemowej.
Od marca 2017 roku trojan został pobrany ponad 50 tys. razy. Kaspersky Lab poinformowało już Google o problemie, dzięki czemu szkodnik został usunięty ze sklepu Play.
Możliwość wstrzyknięcia kodu to nowy i jednocześnie niebezpieczny trend w rozwoju mobilnego szkodliwego oprogramowania. Atak tego typu może być stosowany nawet po wyłączeniu uprawnień administracyjnych. Rozwiązania bezpieczeństwa i aplikacje bankowe zainstalowane po infekcji nie wykryją obecności szkodnika.
Modyfikacja bibliotek systemowych to zaawansowany proces, który niekoniecznie musi się udać. Właśnie z tego względu każdy ruch szkodnika jest raportowany do serwera zdalnego, jednak w obecnej formie nie otrzymuje on żadnych instrukcji zwrotnych. Może to świadczyć o tym, że wirus nie jest jeszcze gotowy w 100%.
Działanie trojana jest dwuetapowe. Najpierw oprogramowanie próbuje otrzymać uprawnienia administratora. Następnie analizowana jest wersja systemu operacyjnego, by wstrzyknąć złośliwy kod do bibliotek. Może to doprowadzić do awarii urządzenia.
Zmodyfikowany kod może wyłączyć funkcję weryfikacji zainstalowanych aplikacji i aktywować możliwość pobierania oprogramowania z nieznanych źródeł. Mogą to być np. programy reklamowe.
Osoby, które podejrzewają infekcję tym szkodnikiem, powinny przywrócić urządzenie do ustawień fabrycznych, uprzednio wykonując kopię zapasową swoich danych.
Źródło: Kaspersky Lab