miércoles, 14 de junio de 2017

Dvmap, el peligroso troyano oculto en Google Play

Una de las vulnerabilidades de Android es su vulnerabilidad frente al malware. Cierto es que el sistema operativo más usado en móviles trabaja constantemente por mejorar su seguridad y combatir cualquier tipo de ataque. Sin embargo, en algunas ocasiones no es capaz de controlar todo el software malicioso que le llega desde su tienda de aplicaciones.

Esto es lo que ha sucedido con Dvmap, un nuevo malware para móviles Android. En esta ocasión, los piratas informáticos han agudizar su ingenio como hasta ahora no se había visto, y han conseguido publicar en la tienda de Google un troyano oculto bajo apps aparentemente seguras.

Dvamp es el troyano más complejo para Android no visto hasta el momento, pero no el único. Oculto bajo un sencillo juego de puzles llamado Colourblock, esta app aparenetemente segura alojada en la Google Play Store ha sido descargada más de 50.000 veces en dispositivos de todo el mundo, la gravedad de este malware reside en la agresividad de su comportamiento. No es la primera vez que recurren a juegos para insertar virus, por ejemplo, el pasado mes de abril fue descubierto un paquete de guías falsas de Pokémon GO y FIFA Mobile que infectaban el móvil con malware, aunque nunca de esta forma tan agresiva.

Lo más grave en esta ocasión es que el nuevo troyano Dvmap realiza acciones tan complejas como hacer root a cualquier dispositivo e inyectar código en tiempo real en la memoria de los dispositivos infectados.

A eso se añade la manera en que sus desarrolladores han sido capaces de sortear las medidas de seguridad de Google. En teoría, un software de seguridad se encarga de comprobar el comportamiento de cada una de las aplicaciones subidas a la Google Play, protegiendo a los usuarios de todo tipo de malware. En caso de sospecha, un técnico es el encargado de revisar la app.

Conociendo este proceso, los piratas informáticos desarrollaron una curiosa estrategia. Subieron una app limpia, concretamente el juego de puzles Colourblock, que Google analizó sin detectar nada extraño. Una vez que la app fue considerada segura y publicada en la tienda, subieron una nueva versión con el código malicioso en su interior. ¿Buen método? Sí, a la vista de los resultados y que no levantó sospechas y fue empleado hasta en más de 5 ocasiones entre el 18 de abril y el 15 de mayo de este año, según informa Kapersky. Por suerte, la app ya ha sido eliminada de la Google Play.

¿Qué ha hecho en tu teléfono Dvmap, el mayor troyano de Android?

Una vez que el Dvmap se instalaba en el smartphone, lo primero que hacía era desactivar todas las medidas de seguridad de Android. Esta acción permitía a los piratas informáticos poder instalar otro software en los dispositivos móviles, tanto de 32 bits como de 64 bits - los ataques no suelen llegar a esta versión del sistema operativo-, como vemos en esta imagen con parte del código del troyano.


Por si esto no fuera suficiente, sobreescribían una serie de librerías de manera que Dvmap no pudiera borrarse al tiempo que conseguía permisos de root en el móvil explotando las conocidas vulnerabilidades de este sistema operativo. Y esta es la novedad que presenta Dvmap, que llega hasta lo más profundo del sistema, algo que no había logrando ningún otro malware hasta el momento.

Si has corrido mala suerte y tu móvil ha sido infectado por Dvamp, has de realizar una copia de seguridad de todos los datos y restablecer los valores de fábrica para tratar de mitigar el ataque.

En definitiva, mucho cuidado con las aplicaciones descargadas de Internet porque en ellas se puede llegar a alojar hasta el troyano más complejo camuflado bajo app segura cuando en realidad es una aplicación maliciosa que ha logrado ser publicada en la Google Play por piratas informáticos con el ingenio cada vez más agudizado que se han aprovechado de las vulnerabilidades de Android.