Neue Malware mit neuer Methode
Die neue Dvmap- Malware nutzt laut den Kaspersky-Analysen eine bislang nicht bekannte Methode, um Rootrechte zu erlangen, wie winfuture.de dazu ausführte. Auch ist es so, dass der Nutzer des betroffenen Smartphones von dem Angriff zunächst nichts bemerkt.
Bisher war es auch immer so, dass der Nutzer selbst, egal wie, der App Adminrechte eingeräumt hat. Das ist bei Dvmap nicht der Fall. Wie verlaute,t wird durch Dvmap die Abfrage einfach unterdrückt und die Rechteerweiterung wird selbsttätig bestätigt. Der Trojaner soll so in der Lage sein, System-Bibliotheken zu kompromittieren.
Angriff auf 64-Bit-Systeme
Der Code kann laut Kaspersky auch die 64-Bit-Version des Android-Betriebssystems angreifen, eine außergewöhnliche Eigenschaft, die man erstmalig beobachtete. Generell versteckt sich der neuartige Trojaner Dvmap so, dass er nur schwer aufzuspüren und zu entfernen ist. Das liegt offensichtlich darin begründet, dass Dvmap gleich mehrere Schwachstellen in Android ausnutzt.
Nach der Meldung durch Kaspersky hat Google die App mit dem gefährlichen Trojaner überprüft und entsprechend schnell entfernt. Bevor Google die manipulierte App aus dem Store entfernte, wurde sie rund 50.000 Mal installiert.
Fazit der Kaspersky-Sicherheitsexperten
Die Kaspersky-Sicherheitsexperten konnten zwar die Machart des Trojaners entschlüsseln, allerdings blieb ihnen das Angriffsziel ein Rätsel. Die Forscher gehen davon aus, dass über die Dvmap-Methode weitere Apps unentdeckt nachgeladen werden sollen. In den Kaspersky-Sicherheitstools wird die Malware jetzt als Trojan.AndroidOS.Dvmap.a erkannt. Die Sicherheitsexperten gehen davon aus, das dieser Code nicht nur für colourblock verwendet wird. Wahrscheinlich gibt es perfektionierte Versionen, die sich nun über andere Apps verbreiten.
Weiterführende Links:
winfuture.de: Dvmap: Kaspersky findet ersten Android-Trojaner mit Code-Injection