Tutto ciò che occorre sapere su Dvmap, il più sofisticato malware del Play Store

Dvmap non è solo uno dei tanti virus che roota il cellulare, ma lo fa in un modo veramente strano

Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.

I malware, è risaputo, sono una tecnologia in continua evoluzione e possono superare spesso gli stessi algoritmi e programmi che si propongono di combatterli in termini di avanzamenti tecnici e di software: è il caso di Dvmap, uno dei più sofisticati malware Android finora riscontrati in circolazione su Google Play.

Questo virus non soltanto infatti presentava un supporto esteso per varie versioni di smartphone, ma adottava complesse tecniche di camuffamento per evitare di essere scoperto dal sistema di controllo SafetyNet del Play Store, oltre a presentarsi come il primo esemplare di file infetto capace di iniettare il proprio codice maligno direttamente nelle librerie di sistema.

Siete pronti per scoprire cos’è Dvmap, e quale minaccia rappresentava?

Che cos'è Dvmap

Così come riporta Kaspersky Lab, il laboratorio di ricerca responsabile della scoperta e dell’espulsione di Dvmap dal Play Store, non è la prima volta che un malware si introduce su Google Play: i ricercatori portano l’esempio di Ztorg, che è stato caricato sullo store di app almeno 130 volte dal settembre 2016 ad oggi, ma noi possiamo persino citare il caso dei 130 malware, la rete di bot Spy Banker o le false mod di Minecraft.

Dvmap è però differente rispetto agli altri virus finora analizzati, per una serie di motivi caratteristici sul piano tecnico che influiscono sulle sue tecniche di abbordaggio degli smartphone; per esempio, proprio sul piano del raggio d’azione è stato notato che Dvmap include il supporto per gli smartphone a 64-bit, un fatto decisamente poco comune poiché spesso i malware si rivolgono al mercato dei device di fascia medio bassa, per una serie di ragioni (rapidità di sviluppo, utenza spesso poco colta sul piano della sicurezza digitale…).

Dvmap
Il trojan in cui Dvmap era mascherato

Ma Dvamp è un malware pericoloso perchè in grado di eseguire il rooting dello smartphone infettato così da assumerne completamente il controllo: nonostante nemmeno questa sia una novità, l’iniezione dei propri file maligni nelle librerie interne rappresenta un inedito nel mondo dei malware. Dvmap si nascondeva all’interno di un gioco – chiamato Colourblock – e, nonostante avesse una media di una stella nelle recensioni degli utenti, aveva guadagnato oltre 50.000 installazioni.

Per superare i controlli di Google Play, Dvmap aveva adottato una tecnica complicata, ma efficace: dopo aver caricato una versione “pulita” del gioco, Dvmap provvedeva ad eseguire un update interno installando per un breve periodo i file del malware, per poi procedere alla rimozione dopo poco tempo ed evitare di essere scoperti. A quanto pare, Dvmap avrebbe ripetuto il procedimento almeno 5 volte dal 15 aprile al 18 maggio.

Come Judy attacca gli smartphone degli utenti

Dvmap, così come già accennato, costruisce la propria strategia attorno al rooting del dispositivo infettato: per questo motivo integra all’interno del file di installazione quattro differenti cartelle di archivi crittografati. Il primi quattro (Game321.res, Game322.res, Game323.res e Game642.res) si attivano nella prima fase del contagio, ossia il momento dell’accesso ai permessi di root del dispositivo.

I file in lingua cinese

I primi tre archivi sono relativi agli smartphone a 32-bit, mentre l’ultimo si riferisce ai modelli da 64-bit; qualora lo smartphone venisse rootato con successo, Dvmap provvederà ad installare l’applicazione infetta com.qualcmm.timeservices. Curiosamente, negli archivi troviamo anche il file root.sh, che contiene alcune scritte in cinese.

  • com.qualcmm.timeservices è il centro di comunicazione tra lo smartphone infetto, il malware ed i server di riferimento: il principale compito di quest’applicazione è il download e l’esecuzione dei moduli maligni necessari per l’esecuzione del piano, ma ha anche dimostrato di essere capace di collegarsi ad un server di Comando&Controllo (C&C). Nonostante non abbia mai ricevuto alcuna risposta, è possibile che questa connessione sia funzionale alla visualizzazione di banner pubblicitari invasivi.

La seconda nonché principale fase inizia nei momenti successivi il root, in cui Dvmap comincerà a sostituire librerie interne al SO con le proprie versioni, un atteggiamento mai visto prima: qualora lo smartphone possieda una versione pari o inferiore ad Android 4.4 KitKat, allora sarà utilizzato il metodo _Z30dvmHeapSourceStartupBeforeFork, mentre per modelli più recenti sarà preferito il metodo nativeForkAndSpecialize – va notato che entrambi sono collegati a Dalvik e ART (acronimo per Android Run Time).

Dopodichè, servendosi degli archivi Game324.res o Game644.res Dvmap provvederà a sostituire l’originale /system/bin/ip con uno proprietario, causando probabilmente il crash del dispositivo nel processo – si tratta infatti di un metodo molto pericoloso per la salute dello smartphone.

Il nuovo ip non conterrà alcun collegamento all’originale, quindi qualsiasi app vi si appoggiasse smetterà immediatamente di funzionare; inoltre il nuovo ip fornirà a com.qualcmm.timeservices i diritti di amministrazione del dispositivo – seguendo un percorso davvero complicato e inusuale – annullerà la verifica delle applicazioni e consentirà l’installazione di app di terze parti.

Come difendersi da Dvmap

Il malware è stato trovato su Google Play in un numero imprecisato di applicazioni, e la sua complessità lo rende uno degli avversari più pericolosi degli ultimi tempi; ciononostante, pare che la versione distribuita fosse solamente in fase di testing, dato che l’intera procedura di rooting aveva come finalità l’esecuzione di file che i server di controllo non ha mai inviato.

Noi possiamo consigliarvi di continuare a porre attenzione alle app che scaricate, dando un’occhiata alle recensioni in caso di dubbio e contattarci presso [email protected] per qualsiasi dubbio.

Hai paura che un malware possa entrare nel tuo smartphone? Scopri QUI tutti i modi per difenderti!

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè le prossime News sulla sicurezza nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus, sulla nostra rivista Flipboard e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!

Commenti

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More

//