روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)در آوریل 2017، ما شاهد یک بدافزار جدید با قابلیت روت بودیم که توانسته بود از طریق فروشگاه آنلاین گوگل پلی به توزیع کد های مخرب بپردازد. برخلاف دیگر بدافزارهای روت، این تروجان علاوه بر اینکه ماژول خود را بر روی سیستم راه اندازی می کند، کدهای مخرب خود را نیز به کتابخانه ی runtime تزریق می کند. راهکارهای امن لابراتوار کسپرسکی این بدافزار را با عنوان Trojan.AndroidOS.Dvmap.aشناسایی کرده اند.

توزیع و گسترش بدافزار روت از طریق گوگل پلی خبر چندان تازه ای نیست. به عنوان مثال، تروجان Ztorg تقریبا حدود 100 بار از سپتامبر 2016 در فروشگاه گوگل پلی ارسال شده است. اما Dvmap یک بدافزار روت خاص است. این بدافزار از تکنیک های جدید و مختلفی استفاده می کند اما جالب ترین عملکرد این بدافزار تزریق کدهای مخرب به کتابخانه های سیستم (ibdmv.so یا libandroid_runtime.so) است.

Dvmap اولین بدافزار اندروید است که کدهای مخرب خود را به کتابخانه در runtime تزریق می کند و قابل توجه است که این بدافزار بیش از 50.000 بار در گوگل پلی دانلود شده است. لابراتوار کسپرسکی وجود این تروجان را به گوگل اعلام و در حال حاضر این تروجان از گوگل پلی حذف شده است.

Trojan.AndroidOS.Dvmap.a در گوگل پلی

برای دور زدن بررسی های امنیتی گوگلی پلی، سازندگان بدافزار از یک متد بسیار جالبی استفاده کردند: آن ها یک اپلیکیشن بدون مشکل را بر روی این فروشگاه را در اواخر ماه مارس آپلود کردند و سپس آن را توسط یک ورژن مخرب برای مدت کوتاهی آپدیت کردند. آن ها معمولا نسخه ی بدون مشکل این نرم افزار را در همان روز مجددا بر روی گوگل پلی آپلود می کردند. مجرمان این کار را حداقل 5 بار بین 15 تا 18 آوریل انجام دادند.

تمام اپلیکیشن های مخرب  Dvmap این قابلیت های مشابه را داشتند. آن ها چندین فایل آرشیو را از installation package رمزنگاری می کنند و سپس یک فایل اجرایی را با نام "start "راه اندازی می کنند.

نکته ی جالب در این است که این تروجان حتی از نسخه های 64 بیتی اندورید هم پشتیبانی می کند. هنگامی که این نرم افزار مخرب بر روی سیستم قربانی نصب می شود، تلاش می کند تا تلفن را روت کند و به آن دسترسی کامل داشته باشد. پس از بدست آوردن دسترسی کامل، تلاش می کند تا ماژول های مختلفی که در بالا به آن اشاره کردیم را که شامل چند نوشته به زبان چینی همراه با یک برنامه مخرب به نام com.qualcmm.timeservices. است را بر روی سیستم نصب کند.

بخشی از کدهای تروجان که با نسخه های 32 و 64 بیتی اندروید سازگاری دارد

مجرمان برای اینکه اطمینان حاصل کنند که این ماژول مخرب با اجازه سیستم اجرا شود، این بدافزار کتابخانه‌های runtime سیستم را بر اساس اینکه چه نسخه‌ای از اندروید بر روی سیستم نصب ‌شده است، دوباره بازنویسی می‌کند.

برای کامل شدن فرآیند نصب برنامه مخرب اشاره شده در بالا، این تروجان با داشتن اجازه سیستمی گزینه Verify Apps را خاموش کرده و تنظیمات سیستم را ویرایش می‌کند تا اجازه دهد نصب نرم‌افزارها از طریق فروشگاه‌های آنلاین شخص سوم نیز انجام شود.

محققان دریافته اند که آن ها علاوه بر خرابکاری هایی که ذکر شد، تنها با اجرا کردن چند دستور، می‌توان به نرم‌افزار    com.qualcmm.timeservices بدون دخالت کاربر امتیازات مدیریتی داده شود. این روش، یک روش غیرمعقول برای به دست آوردن امتیازات مدیریتی است.”

نرم افزار مخرب شخص سوم مسئولیت اتصال دستگاه آلوده‌شده به سرور C&C مهاجم را دارد و کنترل کامل دستگاه را در دستان مهاجمان قرار می‌دهد. در حال حاضر محققان متوجه هیچ دستوری که توسط دستگاه‌های آلوده‌شده اندروید دریافت شود نشده‌اند، بنابراین این نامشخص است که چه نوع فایل‌هایی اجرا خواهد شد اما این فایل‌ها می‌توانند از انواع فایل‌های مخرب یا تبلیغاتی باشند.

تمام آرشیوهای رمزنگاری شده را می توان به دو دسته تقسیم کرد: اولین آن شامل  Game321.res، Game322.res، Game642.res هستند که در فاز اولیه آلودگی مورد استفاده قرار می گیرند. در همین زمان دسته ی دوم که Game324.res، Game644.res هستند، در مرحله ی اصلی مورد استفاده قرار می گیرند.

نتیجه گیری

این تروجان از طریق فروشگاه آنلاین گوگل پلی توزیع شد و از تکنیک های بسیار خطرناک و جدید از جمله پچ کتابخانه های سیستم استفاده کرد. بدازفزار روت Dvmap ماژول های مخرب را با قابلیت های مختلف در سیستم راه اندازی می کند. اینطور که به نظر می رسد هدف اصلی این بدافزار بدست گرفتن اختیار کامل سیستم قربانی و اجرای فایل های دانلود شده توسط روت است.

این ماژول های مخرب به مجرمان در مورد هر مرحله که پیش می رود گزارش می دهند. بنابراین ما فکر می کنیم که نویسندگان این نرم افزارهای مخرب همچنان در حال آزمایش این بدافزار هستند تا بتوانند با برخی تکنیک های جدید فرصت آلودگی جدید دستگاه های را داشته باشند.

لابراتوار کسپرسکی توانست این بدافزار عجیب و قوی را در مراحل اولیه شناسایی و از ورود آن به سیستم کاربر جلوگیری کند. تمام تلاش ما بر این است که بتوانیم در برابر نفوذ دیگر بدافزارهای قدرتمند سربلند بیرون آییم.

چگونه در برابر بدافزار Dvmap از دستگاه خود محافظت کنیم؟

1. به کاربرانی که بازیpuzzle game in question را بر روی دستگاه خود نصب کرده‌اند، توصیه می‌شود تا از داده‌های دستگاه خود بک آپ بگیرند و یک بازنشانی کامل داده‌ها به تنظیمات اولیه کارخانه (پیش فرض) را به‌ منظور جلوگیری از آلوده شدن توسط این بدافزار، بر روی دستگاه خود اعمال کنند.
2. بهترین راه مشکوک بودن به تمام اپلیکیشن ها است. بهتر است از اپلیکیشن های گمنام و آن هایی را که نمی شناسید خودداری کنید. علاوه بر این، همیشه به نظراتی که دیگر کاربران درباره یک اپلیکیشن داده‌ا‌ند توجه داشته باشید.
3. همیشه قبل از نصب هرگونه نرم‌افزاری، مجوزهای آن را بررسی کنید و تنها مجوزهایی را در اختیار نرم‌افزار موردنظر قرار دهید که به اهداف نرم‌افزار موردنظر مرتبط باشد.
4. اینکه تصور کنید شما قربانی بدافزارها نخواهید بود خیال باطلی است. هر یک از ما ممکن است از هر راهی که فکرش را هم نمی کنیم قربانی آن ها شویم. پس حداقل کار این است که از یک نرم افزار امنیتی قوی و قابل اعتماد برای سیستم های خود استفاده کنیم. راهکارهای امنیتی لابراتوار کسپرسکی این تروجان را با عنوان Trojan.AndroidOS.Dvmap.aشناسایی کرده است.

   منبع: کسپرسکی آنلاین(ایدکو)

   *  کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.