Das Sicherheitsunternehmen Kaspersky ist in Google Play auf eine extrem gefährliche App namens „colourblock“ gestoßen. Sie haben den darin versteckten Schädling Dvmap getauft. Bei ihrer Untersuchung haben sie einige neue Ansätze entdeckt, wie die Malware Geräte angreift.
Die App Mehr als 50.000 Nutzer sollen die App schon heruntergeladen haben. Inzwischen hat Google den Trojaner aus seinem App Store entfernt. Kaspersky geht davon aus, dass die Entwickler Dvmap noch testen und noch nicht in großem Umfang verbreiten.
Es ist zur Zeit auch noch nicht bekannt, für welche Zwecke die Hintermänner kompromittierte Geräte missbrauchen wollen. Dvamp hat sich zwar während der Analyse von Kaspersky schon mit Command-and-Control-Servern verbunden, aber zu dem Zeitpunkt noch keine Befehle angenommen, berichten die Sicherheitsforscher. Sie vermuten, dass Dvamp beispielsweise Werbung einblenden oder weitere Malware nachladen könnte.
Dvmap kann mehr als nur Rooten
Wenn die App auf einem Gerät installiert ist, startet sie diverse Maßnahmen, um die volle Kontrolle über das Gerät erhalten. Dafür soll Dvmap mehrere, von Kaspersky nicht näher beschriebene Exploits benutzen, um verschiedene Android-Versionen zu rooten. Das Rooten via Malware ist nicht neu, aber Dvmap kombiniert diesen Vorgang mit zusätzlichen, bisher noch nicht beobachteten Methoden.
Laut Kaspersky ist Dvmap einer der wenigen Android-Trojaner, der auch auf 64-Bit-Systemen arbeitet. Ebenfalls neu ist, dass der Schädling Systembibliotheken mit Schadcode infiltrieren kann. So nistet sich Dvmap noch tiefer im System ein und stellt sicher, dass von ihnen manipulierte Module danach mit System-Rechten ausgeführt werden. Außerdem soll die Malware so Apps Admin-Rechte verschaffen, und zwar ohne dass das Opfer davon etwas mitbekommt. Normalerweise muss ein ein Benutzer das in einem Dialog explizit erlauben.