Malware im Play Store

Kaspersky entdeckt Dvmap-Trojaner in Android-App

von - 12.06.2017
Android Trojaner Dvmap
Foto: vladwel / shutterstock.com
Kaspersky Labs hat einen Trojaner im Google Play Store entdeckt. Google hat die betreffende App zwar inzwischen entfernt, diese wurde bis dahin jedoch von rund 50.000 Nutzern heruntergeladen.
Der Security-Experte Kaspersky Lab hat den Trojaner Dvmap in einer Android-App ausfindig gemacht. Bisher wurde der Schadcode nur in der kostenlosen Anwendung "colourblock", einem einfachen Puzzle-Spiel, entdeckt. Kaspersky geht allerdings davon aus, dass er in Kürze auch über andere Apps verbreitet werden soll.
Google habe die Anwendung umgehend entfernt, allerdings wurde diese bereits rund 50.000 Mal heruntergeladen. Ist die App erst einmal installiert, nutzt sie gleich mehrere Schwachstellen aus, um das infizierte System zu rooten. Unter anderem wird der Schadcode in die System-Bibliothek libdmv.so oder libandoid_runtime.so eingeschleust.

Der Trojaner ist erst noch in der Testphase

Die Funktionsweise ist immer dieselbe. Die Schadsoftware entschlüsselt mehrere Archivdateien aus dem Assets-Ordner des Installationspakets und beginnt mit der Ausführung einer Datei mit dem Namen "start". Die Meldung, dass die Anwendung umfangreiche Admin-Rechte verlangt, wird dabei unterdrückt.
Scheinbar handelt es sich bei der aktuellen Version der Schadsoftware aber nur um einen Test. Laut Kaspersky sei das Vorgehen der App-Hersteller nämlich sehr verdächtig. Diese hatten bereits im März eine Anwendung in den Play Store hochgeladen, die noch keinen Schadcode enthielt. Schon kurz darauf erweiterten sie diese um Malware-Bestandteile. Dann fand abermals ein Austausch durch eine saubere Version statt. Der Vorgang wurde mindestens fünf Mal wiederholt. Google habe so bei Kontrollen keinen Schadcode finden können.
Wo genau die App herkommt, ist noch nicht bekannt, allerdings hat Kaspersky im Quellcode Kommentare in chinesischer Sprache gefunden, was Rückschlüsse auf die Herkunft ziehen lässt. Im Unterschied zu anderen Malware-Apps kann diese auch 64-Bit-Systeme angreifen.