El troyano Dvmap se instala en el dispositivo de la víctima en dos etapas. Al final, toma el control del dispositivo.
Kaspersky Lab informó sobre el nuevo troyano Dvmap, que se distribuye a través de la Google Play Store y que es capaz de ingresar a los privilegios de root en un smartphone Android y que puede tomar el control del dispositivo inyectando código malicioso en la biblioteca del sistema. En caso de tener éxito, puede eliminar el acceso root, haciendo que pueda evitar su detección. Por su parte, Google ya eliminpo este malware de su tienda.
Dvmap se distribuye como un juego a través de la Google Play Store y, sus creadores, para evitar las verificaciones de seguridad de la tienda, subieron una aplicación no infectada a finales de marzo de 2017. Posteriormente, la actualizaron con una versión maliciosa durante un corto período de tiempo, antes de subir otra versión limpia. Durante cuatro semanas lo hicieron por lo menos cinco veces.
El troyano Dvmap se instala en el dispositivo de la víctima en dos etapas. Durante la fase inicial, el malware intenta obtener privilegios de root en el dispositivo. Instalará un grupo de herramientas, de las cuales algunas llevan comentarios en idioma chino. Uno de estos módulos es una aplicación, "com.qualcmm.timeservices", que conecta el troyano a su servidor de mando y control.
En la fase inicial de la infección, Dvmap lanza un archivo "start", comprueba la versión de Android instalada y decide a qué biblioteca debe inyectar su código. El siguiente paso consiste en sobrescribir el código existente con el código malicioso, causando que el dispositivo infectado se bloquee.
Roman Unuchek, analista senior de malware en Kaspersky Lab, precisó que Dvmap marca un nuevo y peligroso desarrollo en el malware dirigido a Android al inyectar código malicioso en las bibliotecas del sistema, donde es más difícil de detectar y eliminar.