В апреле 2017 года специалисты из Kasperky Lab обнаружили новую троянскую программу, распространяемую через Google Play. Во-первых, это указывает на то, что Google следует проявить больше внимания к приложениям в своём магазине. Во-вторых, следует знать, что вредонос под названием Trojan.AndroidOS.Dvmap.a очень опасен.
Он устанавливает в Android не только новые модули, но и отправляет вредоносный код прямо в Runtime Libraries ОС. Это атака нового качества, поскольку вредоносный код попадает прямо в системные библиотеки, такие как libdmv.so и libandroid_runtime.so. Поэтому Dvmap очень опасен. Dvmap - первая вредоносная программа, которая проникает в ОС так глубоко. Из Play Store вредонос Dvmap, вероятно, спрятанный в игре "colourblock", был загружен более 50.000 раз. К счастью, теперь он удалён.
Чтобы обойти защиту в Play Store, создатели вредоносной программы проявили изобретательность. Сначала они загрузили туда чистую версию своего приложения, а троянская программа была добавлена с обновлением. Чтобы Google ничего не заподозрила, инфицированная программа была заменена чистой версией в тот же самый день. И такие замены производились, как минимум, пять раз с 18 апреля по 15 мая. Следует также обратить внимание на то, что троянская программа Dvmap поддерживает даже 64-битную версию Android, что можно встретить нечасто. Вредонос проходит через ряд фаз и старается сначала получить root-права, чтобы затем установить свои модули. Как только root-права получены, в игру вступают новые инструменты.
На следующем этапе Dvmap запускает некоторые инфицированные файлы и проникает в runtime-библиотеки Dalvik и ART. Патчи различных системных файлов позволяют Dvmap отключить верификацию установок, что также ведёт к сбою в работе других приложений. Таким образом, теперь на мобильное устройство могут устанавливаться и другие вредоносные программы из неизвестных источников. Также на этом этапе Dvmap получает права администратора. Dvmap могла получать команды с сервера, например, установить приложения, похитить данные или показывать рекламу. Kaspersky Labs заявляет, что этого не удалось добиться создателям вредоноса, которые, вероятно, выпустили его в качестве эксперимента.
Kaspersky Lab полагает, что крупных атак и вреда удалось избежать, поскольку Dvmap был обнаружен сравнительно быстро, и его функции хорошо известны. Однако стоит задуматься о том, что такая опасная программа попала на тысячи мобильных устройств прямо из Google Play.