SEGURANÇA

Cavalo de Troia disfarçado de jogo é baixado 50 mil vezes na Google Play

Convergência Digital ... 12/06/2017 ... Convergência Digital

A empresa russa de softwares de segurança Kaspersky Lab anunciou ter descoberto um novo “Cavalo de Troia” incomum, distribuído pela Google Play Store e que teria sido baixado mais de 50 mil vezes desde março deste 2017. Com o alerta, o ‘Dvmap’ foi retirado da loja online da Google. 

“Além de obter direitos de acesso à raiz em smartphones Android, o cavalo de Troia Dvmap também é capaz de assumir o controle do dispositivo, injetando código malicioso na biblioteca do sistema. Quando bem-sucedido, pode então excluir o acesso à raiz, o que ajuda a evitar a detecção”, diz a Kaspersky Lab. 

Segundo a empresa, a introdução da funcionalidade de injeção de código é uma nova evolução perigosa dos malwares para dispositivos móveis. Esse método pode ser usado para executar módulos maliciosos mesmo depois de eliminar o acesso à raiz e, assim, as soluções de segurança e os aplicativos de bancos com recursos de detecção instalados após a infecção não conseguirão identificar a presença do malware.

Os pesquisadores observaram que o malware Dvmap rastreia e registra cada movimento até o servidor de comando e controle, ainda que o servidor de comando não responda com instruções.  Isso sugere que o malware ainda não está totalmente pronto ou implementado.  

O Dvmap é distribuído na Google Play Store como um jogo. Para burlar as verificações de segurança da loja, os desenvolvedores do malware carregaram um aplicativo limpo na loja no final de março de 2017. Depois, atualizaram esse aplicativo com uma versão maliciosa, que durou um curto período, antes do carregamento de outra versão limpa. No espaço de quatro semanas, isso foi feito pelo menos cinco vezes.

A instalação do cavalo de Troia Dvmap no dispositivo da vítima ocorre em dois estágios. Na fase inicial, o malware tenta obter direitos de acesso à raiz do dispositivo. Quando consegue, ele instala diversas ferramentas; algumas incluem comentários em chinês. Um desses módulos é um aplicativo, “com.qualcmm.timeservices”, que conecta o cavalo de Troia a seu servidor de comando e controle. Porém, durante toda a investigação, o malware não recebeu nenhum comando de volta.  

Na fase principal da infecção, o cavalo de Troia executa um arquivo “inicial”, verifica a versão do Android instalada e decide em qual biblioteca vai injetar seu código. Na etapa seguinte, o código existente é substituído pelo código malicioso, o que pode fazer o dispositivo infectado travar. 

As bibliotecas do sistema recém-corrigidas executam um módulo malicioso capaz de desativar o recurso ‘VerifyApps’ (Verificação de aplicativos). Em seguida, ele ativa a configuração ‘Unknown sources’ (Fontes desconhecidas), permitindo a instalação de aplicativos de qualquer origem, não apenas da Google Play Store. Esses aplicativos podem incluir programas maliciosos ou de publicidade não solicitada. 

“O cavalo de Troia Dvmap representa uma nova evolução perigosa dos malwares para Android, em que o código malicioso se injeta nas bibliotecas do sistema, onde é mais difícil detectá-lo e removê-lo.  Os usuários que não têm uma solução de segurança para identificar e bloquear a ameaça antes dessa invasão terão problemas graves.  Acreditamos ter descoberto esse malware em um estágio bastante precoce. Nossa análise mostra que os módulos maliciosos informam cada movimento aos invasores, e existem técnicas capazes de violar os dispositivos infectados. A rapidez é essencial para evitar um ataque massivo e perigoso”, declarou a Kaspersky Lab.


Soluções de Segurança para a Sociedade
Não delegue a segurança cibernética apenas para a TI

Para mitigar os riscos com ataques hackers, toda a corporação precisa se unir, adverte Jun Goto, vice-presidente Sênior da NEC Corporation.

STF autoriza extradição de hacker que teria fraudado US$ 4,85 milhões nos EUA

Tribunal deferiu pedido do governo dos Estados Unidos para extraditar Michael Knighten, que seria integrante de um grupo de criminosos cibernéticos autodenominado Techie Group.

GhostCtrl: o malware que transforma o celular em espião

Segunda versão do GhostCtrl pode bloquear a tela do dispositivo, redefinir sua senha e também rotear o aparelho infectado.

Em dois anos, ransomware levou R$ 80 milhões

Estudo apresentado nesta terça,25/7, em duas universidades dos Estados Unidos, além da Google, investigou 34 famílias de vírus desde o início de 2016. 

Segurança da Informação: prevenir não basta mais às corporações

Empresas estão preferindo investir em métodos de detecção e repostas, mas isso exige mudança de processos e pessoas.



  • Copyright © 2005-2017 Convergência Digital
  • Todos os direitos reservados
  • É proibida a reprodução total ou
    parcial do conteúdo deste site
    sem a autorização dos editores
  • Publique!
  • Convergência Digital
  • Cobertura em vídeo do Convergência Digital
  • Carreira
  • Cloud Computing
  • Internet Móvel 3G 4G