¡Alerta en el Café! “Dvmap es el primer malware para Android capaz de rootear el teléfono inyectando su código” dijo en exclusiva a Con-Cafe el Ing. Santiago Pontiroli, Investigador de seguridad, Equipo Global de Investigación y Análisis de Kaspersky Lab.
El invitado explica como se coló este malware en la tienda oficial de Android: “Para omitir Google Play Store controles de seguridad, los creadores de malware utilizan un método muy interesante: cargar una aplicación limpia a la tienda a finales de marzo de 2017, y serían entonces actualizarlo con una versión maliciosa por un periodo corto de tiempo. Por lo general, se subir una versión limpia de nuevo en Google Play el mismo día. Ellos hicieron esto por lo menos 5 veces entre el 18 de abril y el 15 de mayo.”
Es así como se inyecta código malicioso en las bibliotecas del sistema en tiempo de ejecución, y se ha descargado de Google Play Store más de 50.000 veces. Líder en seguridad, Kaspersky Lab informó el troyano a Google, y ahora se ha retirado de la tienda.
Todas las aplicaciones maliciosas Dvmap tenían la misma funcionalidad. Ellos descifrar varios ficheros de archivo de la carpeta de los activos del paquete de instalación, y lanzan un archivo ejecutable de ellos con el nombre de “start”. Los archivos cifrados en la carpeta de activos
Lo interesante es que el troyano apoya incluso la versión de 64 bits de Android, algo tan raro, parecerá más bien un malware militar, destinado al ciber espionaje.
Este troyano se distribuyó a través de la tienda Google Play y utiliza una serie de técnicas muy peligrosos, incluyendo parches bibliotecas del sistema. Se instala módulos maliciosos con funcionalidad diferente en el sistema. “Parece que su principal objetivo es entrar en el sistema y ejecutar archivos descargados con derechos de root. Pero nunca he recibido este tipo de archivos de su servidor de comando y control.” afirmó Santiago.
Estos módulos maliciosos informan a los atacantes sobre cada paso que se va a hacer. Así que creo que los autores todavía están probando este malware, debido a que utilizan algunas técnicas que pueden romper los dispositivos infectados. Pero ellos ya tienen una gran cantidad de usuarios infectados en los que poner a prueba sus métodos.
Espero que mediante el descubrimiento de este malware en una etapa tan temprana, vamos a ser capaces de prevenir un ataque masivo y peligroso cuando los atacantes están listos para usar activamente sus métodos.
#ConCafeVOD
#ConCafeRADIO
Santiago Pontiroli
Investigador de seguridad, Equipo Global de Investigación y Análisis
Santiago Pontiroli se incorporó a Kaspersky Lab como investigador de seguridad en octubre de 2013. Sus principales responsabilidades incluyen el análisis e investigación de amenazas a la seguridad en el sur de Latinoamérica (SOLA), seguridad de aplicaciones web, desarrollo de herramientas de automatización derivadas de estudios de inteligencia de seguridad e ingeniería inversa de programas con código malicioso.
Antes de incorporarse a Kaspersky Lab, fue líder de desarrollo de Accenture en proyectos como Site Concept Studio y Avanade Connected Methods, donde supervisó todos los aspectos técnicos de sus equipos, desarrolló e hizo demostraciones en las diferentes plataformas y dio soporte técnico al equipo de ventas. Antes de Accenture, trabajó como consultor para varias empresas, brindando soporte de software de control de acceso, administración de redes y sistemas, reforzamiento de servidores y seguridad de aplicaciones web.
Es licenciado en Ingeniería de Sistemas y Análisis de Sistemas de la Universidad Tecnológica Nacional F.R.L.P de Buenos Aires, Argentina. Sus áreas de especialización clave incluyen investigaciones relacionadas con el bitcoin y el análisis de ransomware.