第一例手机恶意软件向系统库注入恶意代码 卡巴斯基和安天发布Dvmap手机恶软分析报告

8日, Roman Unuchek 在SecureList发文称,卡巴斯基在 2017年4月观察新的Root恶意软件通过Google Play商店分发。与其他Root恶意软件不同, 此特洛伊木马程序不仅将其模块安装到系统中, 还向系统运行库中注入恶意代码。卡巴斯基实验室产品检测它为Trojan.AndroidOS.Dvmap.a,MD5分别为 43680D1914F28E14C90436E1D42984E2、20D4B9EB9377C499917C4D69BF4CCEBE

Dvmap手机恶意软件向系统库注入恶意代码

通过Google Play进行Root恶意软件分发的做法并不新鲜。例如, 自2016年9月以来, Ztorg 木马已经上百次上载到 google Play。但 Dvmap 是非常特殊的Root恶意软件。它使用了各种新的技术, 但最有趣的是, 它将恶意代码注入系统库libdmv.so 或者libandroid_runtime.so.。

这使得 Dvmap成为第一例向系统库注入恶意代码的安卓手机恶意软件, 目前它已经从 google Play商店中下载了5万次以上。卡巴斯基实验室已经向Google报告了这个木马, 谷歌已经从商店中删除了。

Dvmap手机恶意软件逃避Google Play安全性检查

为了绕过 google Play安全检查, 恶意软件作者使用了一个非常有趣的方法: 他们在2017年3月底将一个干净的应用程序上传到Google Play, 然后在短时间内用恶意版本更新它。随后, 再会上传一个干净的版本。这样的动作在4月18日和5月15日之间,至少做了5次。

所有恶意的 Dvmap 应用程序都具有相同的功能。他们从安装包的 "资源" 文件夹中解密多个存档文件, 并从名为 "启动" 包中启动一个可执行文件。

更多技术分析请参考,

https://securelist.com/78648/dvmap-the-first-android-malware-with-code-injection/

Update:安天也对Dvmap恶意软件进行了分析

分析称,可以初步认为在卡巴斯基原分析报告中专门提及的中文代码注释问题,应只是该恶意软件编写者直接使用了中国开发者编写的Kingroot脚本,而非直接与中国恶意软件开发者产生明显联系。

而通过恶意样本及开发者信息的语言特征判断,该恶意软件有较大几率与印度尼西亚开发者存在直接关系;另外,由于该恶意软件并没有在任何社交网站进行推广的网络记录,仅通过应用市场分发,因此其早期推广与分发行为,较大几率由恶意软件开发者就近在自身网络社交范围内通过其他手段进行,结合该恶意软件在早期植入的移动终端地域分布情况和整体总量植入移动终端地域分布情况,可以认为印度尼西亚有较大可能是该恶意软件的开发者所在地和主要受害者集中地域。

需要明确指出的是,由于远控服务器已被关停,恶意样本载荷不存在明显网络行为,开发者自我保护意识极强,以上现状都成为对恶意软件开发者溯源问题上的障碍,需要随着新的情报数据与样本信息的不断完善才能得到较为准确的结论。

但无论如何,这种在安卓平台上第一次出现的针对系统运行库进行恶意代码注入的恶意样本攻击方式,都值得高度重视。相信在可见的将来,会有更多利用类似系统漏洞进行木马植入的移动恶意样本出现,需要高度警惕和预防。

更多分析详见:

http://mp.weixin.qq.com/s?__biz=MjM5NTY4NzcyNg==&mid=2650239586&idx=1&sn=6f1e9a2e6f9369ed350137e497b9694e&chksm=bef76e238980e7358c241c21363a989f5fb83ae1f82f1ccc7550d98e210945d7208c33d7a987&mpshare=1&scene=1&srcid=0609SWxl70Nk2EdQsnDDWNil#rd

卡巴斯基还在持续监控Dvmap手机恶意软件的发展态势

这个木马是通过Google Play分发, 并使用一些非常危险的技术, 包括修改系统库,在系统中安装具有不同功能的恶意模块。目前看起来它的主要目的是进入系统,并使用 root 权限执行下载的文件,但我从来没有从他们的C&C服务器中收到这样的文件。

这些恶意模块报告展示了攻击者即将要做的一些动作。所以我认为, 作者仍然在测试这个恶意软件, 因为他们使用的一些技术, 足以控制被感染的设备,而且现在他们已经有很多受感染的用户来测试他们的方法。

我希望尽早发现这些恶意软件, 以便我们可以在攻击者积极准备的阶段,及时防御大规模攻击。

发表评论