Dvmap: Kaspersky findet ersten Android-Trojaner mit Code-Injection

Android, Malware, Google Play, dvmap Bildquelle: Kaspersky
Sicherheitsexperten von Kaspersky warnen vor einer neuen Malware, die Android-Smartphones rooten kann. Entdeckt hatten sie die Sicherheitsexperten bei einer Routinekontrolle im April in der mittlerweile aus dem Google Play Store entfernten App colourblock. Die neue Malware, genannt Dvmap, nutzt laut der ersten Analyse von Kaspersky eine bisher unbekannte Methode, um Rootrechte auf dem Smartphone seiner Opfer zu erhalten. Neu ist dabei vor allem, dass der Smartphone-Nutzer zunächst von der Attacke gar nichts mitbekommt. Bei anderer Schadsoftware, die eine Rechteausweitung nutzt, ist der Nutzer es im Endeffekt immer selbst, der der App die Adminrechte durch eine Vortäuschung falscher Tatsachen genehmigt. Dvmap geht da anders vor und unterdrückt einfach die Abfrage für die Rechteerweiterung und bestätigt sie selbsttätig. Der Trojaner schafft es dabei System-Bibliotheken zu kompromittieren. Infografik: Sicherheit: Android und iOS im VergleichSicherheit: Android und iOS im Vergleich

Ziel sind auch 64-Bit-Systeme

Dvmap ist aber auch aus anderen Gründen eine Premiere. Der Code kann laut Kaspersky auch die 64-Bit-Version des Android-Betriebssystems angreifen, was außergewöhnlich ist. Außerdem versteckt sich Dvmap so, dass er nur schwer aufzuspüren und zu entfernen ist.

App aus dem Store entfernt

Möglich wird das, weil Dvmap gleich mehrere Schwachstellen in Android ausnutzt. Zudem sollen die Entwickler so schlau gewesen sein, die App zur Verteilung über den Google Play Store zunächst einmal sauber einzustellen und erst mit einem Update Schadcode eingefügt haben. Warum das bei der Freigabe des App-Updates nicht auffiel ist derzeit unklar. Nach der Meldung durch Kaspersky hat Google die App mit dem gefährlichen Trojaner überprüft und entsprechend schnell entfernt.

Noch ein Rätsel

Während Kaspersky Lab bereits die Machart der Malware entschlüsseln konnte, ist das Angriffsziel noch ein Rätsel. Die Forscher gehen davon aus, dass über die Dvmap-Methode weitere Apps unentdeckt nachgeladen werden sollen. In den Kaspersky-Sicherheitstools wird die Malware jetzt als Trojan.AndroidOS.Dvmap.a erkannt. Die Sicherheitsexperten gehen davon aus, das dieser Code nicht nur für colourblock verwendet wird. Wahrscheinlich gibt es perfektionierte Versionen, die sich nun über andere Apps verbreiten.

Bevor Google die manipulierte App aus dem Store schmeißen konnte, wurde sie rund 50.000 Mal installiert.

Siehe auch: Android Juni-Patch schließt drei Jahre alte Qualcomm-Schwachstellen

Download AirDroid - Android-Geräte vom PC aus verwalten Android, Malware, Google Play, dvmap Android, Malware, Google Play, dvmap Kaspersky
Diese Nachricht empfehlen
Kommentieren2
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 13:30 Uhr Yilear Powerbank 15800mAh Tragbares Ladegerät mit Type-C Power Delivery &Quick Charge 3.0, Externen Batterie-3-Ausgängen &2-Eingängen für iPhone 8/8 Plus/X/XS/XR/XS, iPad, Samsung, Huawei und mehr.Yilear Powerbank 15800mAh Tragbares Ladegerät mit Type-C Power Delivery &Quick Charge 3.0, Externen Batterie-3-Ausgängen &2-Eingängen für iPhone 8/8 Plus/X/XS/XR/XS, iPad, Samsung, Huawei und mehr.
Original Amazon-Preis
16,98
Im Preisvergleich ab
?
Blitzangebot-Preis
10,99
Ersparnis zu Amazon 35% oder 5,99

Tipp einsenden