Dvmap: Android-Trojaner richtet unbemerkt root ein

[P-J-F]

Moin!

Die neueste Warnung aus dem Hause Kaspersky dreht sich um eine App, die es erst besonders clever unbemerkt in den Play Store geschafft hat, um dann wiederum unbemerkt root-Zugriff auf infizierten Geräten einzurichten. Mehr dazu bei uns im Newsbereich.

 

[amorosa]

Freut sich jeder Samsungbesitzer, dessen KnoxEfuse durchbrennt und das Gerät irgendwann mal einen Defekt hat.

Ohoh....

 

[iieksi]

Vermutlich forderte das infizierte Spiel bei der Installation aber auch einen Haufen merkwürdiger Berechtigungen um sich dann ungestört breit machen zu können
Also Augen auf, ob diese oder jene App wirklich auf's System zugreifen muss oder sms schicken darf, oder Kamerazugriff benötigt, oder, oder...

 

[.mo]

Kreative Strategie; das muss man sagen.

 

[amorosa]

Joa, nicht übel. Witzig nur : Gibt phones die kann man ja schwer rooten...Also wo ist die App nochmal zu finden ??

 

[nik]

@iieksi da dafür Exploits genutzt werden, bekommt der Nutzer gar keine Meldung angezeigt.

 

[Konsistent]

ich denke mal bei apkmirror.

edit: hier

https://apk.downloadatoz.com/ hat sie, mal auseinandernehmen ob ich daraus ein root kit basteln kann

edit:
.com.aio.downloader.start.JiehuoApkMainActivity

com.aio.downloader.start.JiehuoHttpMainActivity

com.aio.downloader.service.DaemonService oha, da ist jede menge das dann im Background läuft.

 

[P-J-F]

Kannst Du dem Laien (also mir) erklären, was da auf dem Smartphone passiert? Sprich: Was macht gerade Dvmap so gefährlich?

 

[Rak]

@Konsistent
Ich weiß nicht, ob das wirklich sinnvoll ist, hier im Forum den Direktdownload zur möglicherweise echt üblen apk zu verlinken

Zudem:
Woher weißt du, ob du die "richtige" Version hast? Deine verlinkte Version wurde am 23. April auf den Server da hochgeladen.

Angeblich wurde die App jedoch bewusst betont "unauffällig" mehrfach bis zum 15. Mai geändert:

So luden sie zunächst eine saubere Version ihrer App hoch, durch ein Update kam dann aber der Trojaner ins Spiel. Damit Google nicht zu schnell Verdacht schöpfte, tauschten sie die schädliche gegen die saubere Version der App noch am gleichen Tag wieder aus. So wechselte man also bunt herum – mindestens fünf mal zwischen dem 18. April und dem 15. Mai 2017.

Ob das alles so stimmt, weiß ich natürlich nicht.

 

[nik]

@P-J-F steht im verlinkten Artikel von Kaspersky ab "Initial Phase": Dvmap: the first Android malware with code injection - Securelist

 

[rudolf]

@P-J-F
Es werden Dateien in der Systempartition geändert. Normalerweise ist alles B öse in der Datenpartition, und dies wird entweder durch deinstallation der App oder Notfalls durch Werks-Reset gelöscht. In diesem Fall muss bei Befall das ganze Rom neu geflasht werden. Auch werden bei geänderten Systemdateien die bösen Programmteile durch andere Apps gestartet, die selber nicht böse sind, auch wenn die böse App längst weg ist.

 

[PocketRocket83]

Mal ne Frage dazu, wenn die Berechtigungen alle im Hintergrund abgefragt werden, habe ich als Laie irgendwelche Punkte auf die ich Achten kann um solche Malware zu erkennen? Oder habe ich da schlichtweg keine Chance und müsste mich auf eine Sicherheitssoftware verlassen?

Gesunder Menschenverstand hilft ja, aber wenn die App / Malware ja im "offiziellen" Playstore zu finden ist, werden wohl 99% der Leute nahezu blindlings installieren?

 

[Nufan]

Auf Sicherheitssoftware würde ich mich nicht verlassen.
Welche Berechtigungen forderte die APP, inwieweit kann man Root-Checker bei betroffenen Geräten vertrauen?

 

[rudolf]

Der Laie hat keine Chance zu erkennen, wenn sowas passiert. Und die Sicherheitssoftware auch erst dann wenn bekannt ist welche App sowas tut.

Wenn eine App das Gerät für sich selber rootet kann ein rootchecker das nicht erkennen. Man nennt sein su halt nicht su und legt es nicht in der Systempartition ab. Schon findet der Checker nichts.

 

[Aaskereija]

Irgendwie kommt mir die Meldung bekannt vor, gabs sowas ähnliches nicht schon vor 2 Jahren mit einem ähnlichen (gleichen?) Spiel? Da ist dann auch weiter nie was passiert

 

[Cloud]

@rudolf : Das mit der Systempartition ist schlimm. Wenn es wirklich zum supergau kommt, bin ich gespannt wie die Smartphonehersteller bzw. Google reagieren wird, weil es ja dem User nicht ohne weiteres möglich ist die Systempartition neu zu flashen. Jedenfalls traue ich das in meinem Freundeskreis nicht mal einem drittel zu das zu schaffen ohne das Gerät unbrauchbar zu machen ^^

 

[Aaskereija]

Wenn User ein Samsung, Sony, Motorola oder ähnliches haben, ist so ein neu-flash eigentlich keine große Sache, da gibts auch hier genug Anleitungen etc. Aber ja, es ist alles andere als eine praktikabel Lösung...