Les logiciels malveillants Android sont entrés dans une nouvelle ère: l’injection de code. Selon un rapport dans The Register, le trojan Dvmap, qui s’est caché dans plusieurs jeux dans Google Play depuis des mois et a été installé plus de 50 000 fois, «installe ses modules malveillants tout en injectant un code hostile dans les bibliothèques d’exécution du système».
Après avoir cherché l’accès de la racine et laisser tomber sa charge utile, les logiciels malveillants sophistiqués puis les correctifs racine pour couvrir ses pistes. Fait intéressant, Dvmap fonctionne également sur la version 64 bits d’Android, peut désactiver la fonctionnalité de sécurité Google Verify Apps et a utilisé une approche vraiment novatrice pour éviter la détection par Google.
Les créateurs de Trojan téléchargeraient une application « propre » sur Google Play, puis la mettraient en surbrillance par intermittence avec les composants du logiciel malveillant pendant un court laps de temps avant de la remplacer par la version propre. Les modules ont constamment envoyé des rapports aux auteurs du malware, ce qui a amené Kaspersky Labs, qui a découvert le cheval de Troie, à croire qu’il était encore dans une phase de test précoce.
L’objectif de Dvmap semble être de permettre l’installation d’applications avec des autorisations de niveau racine de magasins tiers. Kaspersky note également que Dvmap pourrait diffuser des annonces et exécuter des fichiers téléchargés livrés à partir d’un serveur distant. Tandis que Kaspersky a noté la connexion du serveur, aucun fichier n’a été envoyé pendant son test, ce qui implique encore que Dvmap n’était pas entièrement opérationnel.
« L’introduction de la capacité d’injection de code est un nouveau développement dangereux dans les logiciels malveillants mobiles », a déclaré Kaspersky à The Register. « Puisque l’approche peut être utilisée pour exécuter des modules malveillants, même si l’accès racine a été supprimé, toutes les solutions de sécurité et les applications bancaires dotées des fonctions de détection de la racine installées après l’infection ne détecteront pas la présence du logiciel malveillant ».
Kaspersky Labs a d’abord rencontré le trojan en avril et l’a signalé à Google, qui l’a rapidement retiré du Play Store. Bien que toutes les applications incluant Dvmap n’aient pas été nommées, Kaspersky recommande une sauvegarde de données et une réinitialisation d’usine pour toutes les personnes concernées qu’elles ont pu être infectées. Donc, si vous avez téléchargé un jeu dans les derniers mois qui ont été retirés de Google Play, vous voudrez peut-être suivre leurs conseils au cas où.