Beveiligingsbedrijf Kaspersky heeft Android-malware ontdekt, die het zelf aanduidt als de Dvmap-trojan. Deze zogenaamde rooting-malware onderscheidt zich van andere varianten doordat hij in staat is om kwaadaardige code te injecteren.

Onderzoeker Roman Unucheck legt uit dat de malware sinds september 2016 ongeveer honderd keer naar Googles Play Store is geüpload en in totaal 50.000 keer is gedownload. Na een melding door Kaspersky is de Dvmap-trojan, die onder meer in de Play Store aanwezig was onder de naam colourblock, door Google verwijderd.

Het doel van de malware is om rootrechten op een Android-toestel te verkrijgen en vervolgens aanvullende onderdelen te downloaden. Unucheck meldt dat er tijdens zijn onderzoek echter geen onderdelen werden gedownload ondanks een werkende verbinding met een c2-server. Omdat de malware in de gaten houdt wat gebruikers doen en omdat er gebruikgemaakt wordt van technieken die het geïnfecteerde systeem kunnen laten vastlopen, vermoedt de onderzoeker dat het bij de malware om een test gaat.

Om de Play Store in te komen, uploaden de Dvmap-makers eerst een goedaardige versie van hun app naar de winkel. Vervolgens voeren zij een update uit, waarmee zij kwaadaardige code aan hun software toevoegen. Deze updates zijn maar tijdelijk en meestal werd binnen een dag weer een schone versie van de app teruggeplaatst. Eenmaal door een gebruiker gedownload, pakt de app verschillende versleutelde archieven uit en probeert hij rootrechten te verkrijgen.

Daarvoor gebruikt de malware verschillende bestanden, waaronder een bestand voor 64bit-systemen. Dat verschijnsel is volgens Unucheck zeer zeldzaam. Vervolgens patcht de malware verschillende runtime libraries door zijn eigen code te injecteren, afhankelijk van de Android-versie van het geïnfecteerde systeem. Dit doet de software om er zeker van te zijn dat zijn kwaadaardige component met de juiste rechten wordt uitgevoerd. Dit proces kan leiden tot crashes, aldus de onderzoeker.

De gepatchte bibliotheek voert vervolgens de kwaadaardige component uit, die in staat is om de Google-beveiliging 'Verify Apps' uit te schakelen, waarmee het bedrijf Android-malware detecteert. Bovendien is de module in staat om het installeren van apps uit onbekende bronnen in te schakelen, dat standaard uit staat. Verder worden beheerdersrechten toegekend aan de software die verantwoordelijk is voor het binnenhalen van aanvullende onderdelen.