През април специалистите от Kaspersky попадат на нов зловреден софтуер за Android, който вече бил разпространен в Play Store. Разбира се, след като докладват това на Google, компанията реагира бързо и го премахва от магазина си за приложения, но троянецът, наречен Dvmap, вече бил инсталиран над 50 000 пъти.

Специалистите биват изненадани от своето откритие, защото, както разкриват в Secure List, това е първият зловреден софтуер за Android с възможността за инжектиране на код [code injection; бел. превод].

Тази функционалност позволява на троянеца да “инсталира своите зловредни модули, като освен това инжектира враждебен код в библиотеките на системата”.

Това, което може да прави Dvmap, е да поиска (и получи) root достъп, след което да инсталира кода си и да изключи root, така че да прикрие следите си. По този начин вирусът може да работи не само при 64-битовата версия на Android, но и да избегне детектиране от Verify Apps функционалността на Google.

Освен това, разработчиците на Dvmap имат още един коз в ръцете си. За да могат да инфектират устройства незабелязано, те качвали чисто и легитимно приложение в Google Play, след което го ъпдейтвали със зловредния код на Dvmap. Малко след това, давайки време на ъпдейта да се разпространи, те го премахвали от апликацията и тя отново заприличвала на най-обикновена такава. Целта на Dvmap била да отключи възможността за инсталиране на приложения от т.нар. third party stores — магазини за приложения на трети страни. Освен това троянецът е можел да показва реклами и да изпълнява файлове, доставени дистанционно от сървър. Въпреки възможността, от Kaspersky Lab не са открили нито един такъв свален файл, което показва, че Dvmap все още е бил в процес на разработка и тестване.

Поради начинът на работа на Dvmap — инжектирането на зловредния код в библиотеките на операционната система и прикриването на root достъпа си — троянецът става практически невидим за антивирусните софтуери при Android. Към момента всички засегнати приложения са свалени от Google Play Store, въпреки че Kaspersky и Google не назовават имената им. Ако през последните месеци сте сваляли някакви апликации или игри на своето Android устройство, които по-късно са били премахнати от магазина, Kaspersky Lab съветват да върнете фабрични настройки на устройството си.