Kaspersky a découvert un nouveau Trojan sur Android. Il s’agit du premier à injecter du code directement dans les librairies de l’environnement d’exécution en plus de contourner très intelligemment les sécurités du Google Play Store.

Kaspersky a publié ce jeudi un rapport au sujet d’un nouveau Trojan découvert sur Android. Celui-ci a été baptisé Dvmap et n’agit comme aucun autre malware.

 

Discret sur le Play Store

Dvmap, comme la majorité des logiciels malveillants, se cache dans des applications tout à fait normales. Là où son développeur la joue particulièrement finement, c’est que pour contourner les sécurités de la boutique d’applications, il a tout d’abord publié une application saine à la fin du mois de mars. À plusieurs reprises, il l’a ensuite mise à jour afin de mettre en ligne la version malveillante de l’application avant de rapidement remettre en ligne la version clean.

Entre le 18 avril et le 15 mai, ce petit manège aurait été effectué au moins 5 fois, toujours en l’espace d’une journée afin de ne pas laisser le temps à Google de repérer le malware. Les personnes obtenant l’application durant ce laps de temps (ou la mettant à jour) ont cependant été contaminées.

 

Le RunTime touché

Le premier but de Dvmap est d’obtenir les droits root sur l’appareil infecté. Une étape récurrente pour les malwares. Celui-ci se démarque cependant en utilisant diverses techniques très ingénieuses, et notamment en s’attaquant aux librairies du système dédiées à la machine virtuelle (Dalvik ou ART) après avoir vérifié la version du système.

Une fois les droits root obtenus, le Trojan coupe VerifyApps pour éviter d’être détecté par les sécurités mises en place par Google, installe différents outils au sein du système, ainsi que l’application com.qualcmm.timeservices permettant de télécharger et d’exécuter du code. Précisons que celle-ci peut obtenir les droits root sans aucune interaction avec l’utilisateur, ce qui est aussi inhabituel que dangereux.

 

La catastrophe évitée ?

Durant la période d’observation de Kaspersky, l’application en question s’est connectée à un serveur, mais n’a jamais reçu de commandes, et on ne sait donc pas exactement quel est son but final. Kaspersky en conclut donc que ce malware est encore en phase de test et que son propriétaire n’a pas encore eu le temps de déployer une attaque de masse.

Google a bien évidemment été mis au courant de l’existence de ce logiciel malveillant qui a d’ores et déjà été retiré du Play Store.