Kod aşılama kabiliyetinin ortaya çıkışı mobil zararlı yazılımlar alanında yeni ve oldukça tehlikeli bir gelişme. Bu yöntem, yönetici erişimi olmadan bile zararlı modülleri harekete geçirmek için kullanılabiliyor. Bu yüzden de zararlı yazılım bulaştıktan sonra kurulan ve yönetici erişimi tespit etme özelliğine sahip herhangi bir güvenlik veya bankacılık uygulaması bu zararlı yazılımın varlığını fark edemiyor.
Ancak, sistem kütüphaneleri üzerinde değişiklik yapmak, geri tepebilecek olan riskli bir işlem olarak biliniyor. Araştırmacıların gözlemlerine göre, Dvmap zararlı yazılımı her hareketini kaydedip, herhangi bir talimat almasa da komuta ve kontrol sunucusuna bildiriyor. Bu da zararlı yazılımın henüz tam olarak hazır olmadığını ya da uygulamaya konulmadığını gösteriyor.
Dvmap, Google Play Store üzerinden bir oyun olarak dağıtılmış. Zararlı yazılımı yaratanlar, dükkanın güvenlik kontrollerini devre dışı bırakabilmek için 2017 Mart ayının sonunda dükkana temiz bir uygulama yüklemiş. Daha sonrasında kısa bir süreliğine bu uygulamayı zararlı bir versiyon ile güncelleyip, ardından bir başka temiz versiyonu kullanıma sunmuşlar. Dört haftalık süreç içerisinde bunu en az beş kez yaptıkları anlaşılıyor.
Dvmap Truva atı, kurban olarak seçtiği cihaza kendisini iki aşamada yüklüyor. Başlangıç evresinde zararlı yazılım cihazın yönetici haklarını elde etmeye çalışıyor. Başarılı olursa, bazıları Çince yorumlar içeren çeşitli araçları cihaza yüklüyor. Bu modüllerden birisi, Truva atını komuta ve kontrol sunucusuna bağlayan “com.qualcmm.timeservices” adlı bir uygulama. Ancak zararlı yazılım araştırma süreci boyunca herhangi bir komut almamış.
İstilanın ikinci ve ana evresinde Truva atı bir “başlat” dosyası yürütüyor, yüklü olan Android versiyonunu kontrol ediyor ve kodunu hangi kütüphaneye aşılayacağına karar veriyor. Bir sonraki adımda ise halihazırda var olan kodu zararlı kod ile değiştiriyor ve bunun sonucunda bazen cihazın sistemi çökebiliyor.
Yeni yamalanmış olan sistem kütüphaneleri ‘Uygulamaları Doğrula’ özelliğini kapatabilen zararlı bir modülü harekete geçiriyor. Ardından sadece Google Play Store’dan değil, herhangi bir kaynaktan uygulamalar yükleyebilmek için kullanılan ‘Bilinmeyen kaynaklar’ seçeneğini açıyor. Bu uygulamalar zararlı veya istenmeyen reklam uygulamaları olabiliyor.
Kaspersky Lab Kıdemli Zararlı Yazılım Analisti Roman Unuchek, fark edilmesini zorlaştırmak üzere kendisini sistem kütüphanelerine aşılayan Dvmap Truva atının, Android zararlı yazılımları alanında çok tehlikeli yeni bir gelişmeye işaret ettiğine dikkat çekiyor. Unuchek, “Tehlikeyi cihaza girmesinden önce tespit edip engelleyebilecek bir güvenliğe sahip olmayan kullanıcıları ileride büyük sıkıntılar bekliyor. Zararlı yazılımı erken bir aşamada ortaya çıkarttığımıza inanıyoruz. Analizlerimize göre zararlı modüller her hareketlerini saldırganlara bildiriyor ve bazı teknikler söz konusu cihazları bozabiliyor. Bu yüzden büyük ve tehlikeli bir saldırıyı engellemek için zamanı iyi değerlendirmemiz şart” diyor.
Dvmap’ın cihazlarına bulaşmış olabileceğinden endişelenen kullanıcıların tüm verilerini yedekleyerek cihazlarını fabrika ayarlarına çekmeleri tavsiye ediliyor. Kaspersky Lab, buna ek olarak tüm kullanıcılara Kaspersky Internet Security for Android gibi güvenilir bir güvenlik çözümü yüklemelerini, yükleyecekleri uygulamaların güvenilir geliştiriciler tarafından yaratıldığından emin olmalarını, işletim sistemini ve uygulamaları daima güncel tutmalarını ve şüpheli ya da kaynağı belli olmayan herhangi bir şey indirmemelerini tavsiye ediyor.
Tüm Kaspersky Lab ürünleri Truva atını Trojan.AndroidOS.Dvmap.a olarak tespit ediyor.
