Dvmap: Kaspersky findet ersten Android-Trojaner mit Code-Injection

Sicherheitsexperten von Kaspersky warnen vor einer neuen Malware, die Android-Smartphones rooten kann. Entdeckt hatten sie die Sicherheitsexperten bei einer Routinekontrolle im April in der mittlerweile aus dem Google Play Store entfernten App colourblock.
Android, Malware, Google Play, dvmap
Kaspersky
Die neue Malware, genannt Dvmap, nutzt laut der ersten Analyse von Kaspersky eine bisher unbekannte Methode, um Rootrechte auf dem Smartphone seiner Opfer zu erhalten. Neu ist dabei vor allem, dass der Smartphone-Nutzer zunächst von der Attacke gar nichts mitbekommt. Bei anderer Schadsoftware, die eine Rechteausweitung nutzt, ist der Nutzer es im Endeffekt immer selbst, der der App die Adminrechte durch eine Vortäuschung falscher Tatsachen genehmigt. Dvmap geht da anders vor und unterdrückt einfach die Abfrage für die Rechteerweiterung und bestätigt sie selbsttätig. Der Trojaner schafft es dabei System-Bibliotheken zu kompromittieren. Infografik: Sicherheit: Android und iOS im VergleichSicherheit: Android und iOS im Vergleich

Ziel sind auch 64-Bit-Systeme

Dvmap ist aber auch aus anderen Gründen eine Premiere. Der Code kann laut Kaspersky auch die 64-Bit-Version des Android-Betriebssystems angreifen, was außergewöhnlich ist. Außerdem versteckt sich Dvmap so, dass er nur schwer aufzuspüren und zu entfernen ist.

App aus dem Store entfernt

Möglich wird das, weil Dvmap gleich mehrere Schwachstellen in Android ausnutzt. Zudem sollen die Entwickler so schlau gewesen sein, die App zur Verteilung über den Google Play Store zunächst einmal sauber einzustellen und erst mit einem Update Schadcode eingefügt haben. Warum das bei der Freigabe des App-Updates nicht auffiel ist derzeit unklar. Nach der Meldung durch Kaspersky hat Google die App mit dem gefährlichen Trojaner überprüft und entsprechend schnell entfernt.

Noch ein Rätsel

Während Kaspersky Lab bereits die Machart der Malware entschlüsseln konnte, ist das Angriffsziel noch ein Rätsel. Die Forscher gehen davon aus, dass über die Dvmap-Methode weitere Apps unentdeckt nachgeladen werden sollen. In den Kaspersky-Sicherheitstools wird die Malware jetzt als Trojan.AndroidOS.Dvmap.a erkannt. Die Sicherheitsexperten gehen davon aus, das dieser Code nicht nur für colourblock verwendet wird. Wahrscheinlich gibt es perfektionierte Versionen, die sich nun über andere Apps verbreiten.

Bevor Google die manipulierte App aus dem Store schmeißen konnte, wurde sie rund 50.000 Mal installiert.

Siehe auch: Android Juni-Patch schließt drei Jahre alte Qualcomm-Schwachstellen

Download AirDroid - Android-Geräte vom PC aus verwalten
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Jetzt als Amazon Blitzangebot
Ab 06:35 Uhr YV 520mb/s USB SticksYV 520mb/s USB Sticks
Original Amazon-Preis
39,99
Im Preisvergleich ab
?
Blitzangebot-Preis
31,99
Ersparnis zu Amazon 20% oder 8
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!