Google eliminó un peligroso troyano de Google Play a principios de esta semana que podría haber rooteado dispositivos Android e inyectado código malicioso en las bibliotecas del sistema de los dispositivos afectados.

El malware, llamado Dvmap, estaba disfrazado de un juego que había sido descargado más de 50 mil veces antes de su eliminación, de acuerdo con Roman Unuchek, un analista de malware senior y Kaspersky Lab que descubrió el troyano.

Unuchek encontró el malware el 19 de mayo, mientras analizaba los resultados de un sistema interno que monitorea para encontrar nuevas variedades de malware rooting. Google eliminó el troyano el martes después de que Kaspersky Lab informó a la empresa el 25 de mayo.

El juego Colourblock, fue catalogado como un "simple, desafiante, adictivo" juego de puzzle en el que los usuarios cambian los colores de los bloques con el fin de cambiar el color de toda la pantalla.

Una vez instalado, Dvmap intenta obtener acceso root mediante el lanzamiento de un archivo de inicio que comprueba la versión de Android que se ejecuta en el dispositivo y el cual debe inyectar su código en la biblioteca. Si tiene éxito, el malware sigue adelante e instala herramientas (algunas escritas en chino) para conectar el troyano a su servidor de C&C (command and control).

Unuchek, que describió a Dvmap hoy en un post a Securelist, que no está claro si el malware está listo para ser utilizado. El investigador observó los módulos dentro de la información que se envía del malware de nuevo al servidor C&C, pero el servidor nunca respondió de nuevo, algo que indica que el malware no está totalmente listo o implementado.

Modificar las bibliotecas del sistema no es una práctica a prueba de fallos, advierte Unuchek. El investigador dice que en algunos casos el malware puede causar que los dispositivos se bloqueen sobrescribiendo el código existente.

Parece que los ciberdelincuentes detrás de Dvmap subieron una versión limpia del juego a Google Play a finales de marzo, y luego la actualizaron con una versión maliciosa –on and off- cinco veces durante el transcurso de cuatro semanas. La estrategia probablemente ayudó a los atacantes a evitar los controles de seguridad del mercado, dice Unuchek.

VerifyApps, el escáner de malware de Google para Android, puede comprobar software nuevo e instalado en dispositivos contra una lista de malware conocido, pero no es inmune a Dvmap, dice Unuchek.

"Las nuevas bibliotecas del sistema recién parchadas ejecutan un módulo malicioso que puede desactivar la función 'VerifyApps'", dijo Unuchek, "A continuación, cambia la configuración en los ajustes a "Fuentes desconocidas", lo que le permite instalar aplicaciones desde cualquier lugar, no solo desde Google Play Store. Estas podrían ser aplicaciones publicitarias maliciosas o no solicitadas".

El malware de Android que ayuda a los atacantes a obtener acceso root no es exactamente nuevo. Los investigadores de Kaspersky Lab descubrieron un troyano bancario Android que intentó obtener privilegios de root en dispositivos el pasado mes de septiembre. La aplicación, que se disfrazó del juego Pokémon GO, también dio a los atacantes acceso root. Además de eso, era más popular que el juego que Unuchek encontró la semana pasada, habiendo sido descargado más de 500 mil veces antes de que Google lo eliminara.

Unuchek dice que uno de los rasgos que hace a Dvmap diferente es el hecho de que el malware se puede inyectar en las bibliotecas del sistema, lo cual es preocupante.

"Inyectar código en la biblioteca del sistema es algo nuevo para el malware de Android y algo muy poderoso", dijo Unuchek a Threatpost, "Pero al mismo tiempo, es un método muy peligroso que puede romper el dispositivo. Creo que veremos más troyanos haciéndolo en el futuro, pero es una funcionalidad demasiado peligrosa para la mayoría de los troyanos y es difícil de implementar".

Kaspersky Lab y Unuchek están animando a los usuarios que descargaron el juego o creen que están infectados realizar copias de seguridad de sus datos y realizar un restablecimiento completo de los datos de fábrica para mitigar el malware.

"Los usuarios que no tienen en cuenta la seguridad para identificar y bloquear la amenaza antes de que se rompa, tienen tiempos difícil por delante", dijo Unuchek sobre el malware.

Artículos relacionados

• Usuario casero - troyano

• Códigos maliciosos

• Riesgos de seguridad en Adroid