Xuất hiện phần mềm độc hại trên Android có khả năng chèn mã độc vào hệ thống

14:36 | 15/06/2017

Trong tháng 4/2017, Kaspersky Labs đã phát hiện ra một phần mềm độc hại dạng rooting mới với tên gọi Trojan.AndroidOS.Dvmap.



Phần mềm độc hại này được phân phối qua cửa hàng Google Play và sử dụng một tính năng hoàn toàn mới: không chỉ tải về các mô đun và cài vào các hệ thống mục tiêu, phần mềm còn chèn các mã độc hại vào các thư viện hệ thống.

Việc phát tán phần mềm độc hại thông qua cửa hàng Google Play hiện không còn là vấn đề mới. Tuy nhiên, sự khác biệt của Dvmap so với các phương pháp khác là nó đưa các mã độc vào các thư viện hệ thống như libdmv.so, hoặc libandroid_runtime.so

Bởi vậy, đây chính là phần mềm độc hại đầu tiên mà khi lây nhiễm thành công vào các hệ thống Android sẽ có khả năng chèn các mã độc hại vào các thư viện hệ thống trong thời gian khởi động. Theo báo cáo của Kaspersky Labs, tổng số lượt tải về những phần mềm chứa mã độc này từ cửa hàng Google Play đã lên đến hơn 50.000 lần. 

Phân tích các hoạt động của phần mềm độc hại này, các chuyên gia của Kaspersky Lab đã đánh giá, một số hoạt động là "kỹ thuật rất nguy hiểm", đặc biệt là khả năng cập nhật, vá, hoặc mã hóa của nó tại cửa hàng Google Play. Mục đích chính của phần mềm độc hại này là xâm nhập sâu vào các hệ thống mục tiêu để thực hiện tải về các tập tin có quyền root.

Một điểm khác biệt nữa là phần mềm này hỗ trợ cả phiên bản 64-bit của Android, điều này thường rất ít khi xảy ra. Các chuyên gia của Kapersky Lab đã đưa ra một số gợi ý phân tích hành vi giúp Google có thể phát hiện và ngăn chặn hoạt động của phần mềm độc hại. Các chuyên gia cũng khuyến cáo người dùng nên sao lưu và khôi phục cài đặt gốc trên thiết bị ngay khi nghi ngờ bị nhiễm mã độc từ ứng dụng. 

Khi nhận được thông báo từ Kaspersky Lab, Google đã tiến hành xóa các ứng dụng có chứa mã độc Dvmap.