I ricercatori di Kaspersky Lab hanno annunciato di aver scoperto un nuovo tipo di malware, diffuso tra gli utenti Android tramite il Play Store di Google. Si tratta di un sofisticato trojan chiamato Dvmap, che ha lasciato molti a chiedersi come non sia trapelato sul Play Store prima d’ora. Anche se Google controlla regolarmente la piattaforma da possibili minacce, proprio questa “abitudine” deve essere ben nota agli sviluppatori di malware.
“Per aggirare i controlli di sicurezza dello Store, i creatori si stavano preparando alle caratteristiche delle applicazioni e a come potesse essere il malware già dalla fine di marzo 2017. In seguito è stato aggiornato con una versione dannosa per un breve periodo, prima di tornare a caricare un’altra versione del malware. In un periodo di quattro settimane si è fatto questo almeno cinque volte”, hanno spiegato i ricercatori di Kaspersky.
Usando questo metodo di distribuzione, Kaspersky sospetta che il malware sia stato scaricato più di 50 mila volte dalla sua prima apparizione a marzo.
Cosa è e cosa fa Dvmap
Una volta installato, Dvmap inietta un codice maligno nelle “librerie di sistema” e cancella i privilegi di root, rendendo più difficile alle soluzioni di sicurezza scoprire che il sistema è stato messo a repentaglio se installato dopo l’attacco. In questo modo, gli aggressori possono inviare comandi attraverso un server di comando per scaricare e installare più malware.
“Tutto indica che l’obiettivo principale di Dvmap è quello di entrare nel sistema ed eseguire i file scaricati con i privilegi di root”, spiega Roman Unuchek, analista di malware di Kaspersky Lab.
Cosa fare se si pensa di essere stati infettati
Il Trojan è stato rimosso dal Play Store di Google. Secondo Unuchek, il malware sembra essere stato distribuito attraverso un’applicazione chiamata Colourblock. Se si scarica questa applicazione e non si dispone di un antivirus installato sul dispositivo, l’unica opzione è quella di creare un backup di tutti i dati e ripristinare le impostazioni originali sullo smartphone o tablet.
Si tratta di un nuovo vettore di attacco e il fatto che rimuova l’accesso root è terribilmente inquietante. Ma gli esperti sono entusiasti di essere riusciti ad aver rilevato questa minaccia in una fase così precoce della sua diffusione.
Per mantenere in sicurezza i dispositivi, quindi, si consiglia di scaricare un antivirus come Avast per Android o l’antivirus Kaspersky, entrambi gratuiti.
