El equipo de seguridad de Google retira una aplicación para Android llamado Colourblock en Play Store
En el momento en que se retiró la aplicación había sido descargado más de 50.000 veces. Este es un número bajo en comparación con otros troyanos, pero esto se debe a que la aplicación se ha cargado en Play Store, en marzo de 2017.De acuerdo con el analista de seguridad de Kaspersky Roman Unuchek, la versión inicial de esta aplicación era limpia y no contiene ninguna funcionalidad malicioso.
Las cosas cambiaron entre el 18 de abril y el 15 de mayo, cuando los creadores de la aplicación actualizada de colourblock al menos cinco ocasiones diferentes, el cambio de la aplicación llega con una versión maliciosa, salir de la aplicación maliciosa en Play Store, y la restauración de la versión limpia después de un día.
Estos cinco pequeñas ráfagas de cambios maliciosos extendieron un troyano a los usuarios que actualizan Colourblock durante las ventanas de tiempo corto cuando la aplicación estaba contaminado con código malicioso.
DVMap troyano infecta los procesos del sistema de núcleo Android
De acuerdo con Unuchek, se extendió la aplicación de un nuevo troyano, no visto antes en otras infecciones. El experto dice que este nuevo troyano llamado DVMap contenía cuatro paquetes de exploit que utilizó en un intento de acabar con el dispositivo del usuario.Tres de estos paquetes dirigidos a los dispositivos Android que se ejecutan en sistemas de 32 bits, mientras que el cuarto dispositivos de destino en plataformas de 64 bits.
Si el troyano logra ejecutar estos paquetes de enraizamiento, el troyano podría obtener privilegios de root, lo que sería más tarde utilizar para manipular los archivos principales del sistema que pertenece al propio sistema operativo Android.
Esta no es la primera vez que los expertos en seguridad han descubierto un troyano para Android que interfiera con los archivos principales del sistema Android. El año 2016, los investigadores Dr.Web se encontraron con el troyano Android Loki, que también utiliza cuatro exploits para obtener privilegios de root e inyectar sí mismo en el proceso system_server Android.
Por otro lado, DVMap inyecta en sí en el proceso de libdvm.so (para dispositivos con Android 4.4.4 y mayores) o libandroid_runtime.so proceso (para dispositivos con Android 5 años o más).
DVMap puede apagar el escáner de seguridad de Google VerifyApp
Unuchek dice que el troyano DVMap contiene código que permite que se apague "VerifyApps", una potente característica de seguridad Google integrado en todos los dispositivos Android que pueden detectar maliciosos aplicaciones de Android.Con esta función desactivada, el troyano DVMap es entonces libre para instalar aplicaciones de terceros en el dispositivo del usuario, sin VerifyApps que alertan al usuario de cualquier peligro.
Afortunadamente, el troyano DVMap parecía estar en una etapa de desarrollo, y es C & C servidor nunca enviaron ningún instrucciones maliciosas o aplicaciones a los dispositivos Unuchek deliberadamente infectados con este malware para probar y monitorear su comportamiento.
