در آوریل سال  2017 ، یک بدافزار جدید به نام Dvmap  با قابلیت روت  وارد فضای سیستم شد که این ویروس قادر بود وارد گوگل پلی شود و   از طریق فروشگاه آنلاین گوگل پلی به توزیع کد های مخرب  بپردازد .تفاوت این تروجان با  دیگر تروجان ها در این بود که  علاوه بر اینکه ماژول خود را بر روی سیستم راه اندازی می کند ، توانایی تزریق کدهای مخرب خود را نیز به کتابخانه runtime  داشت .  راهکارهای امن لابراتوار کسپرسکی این بدافزار را با عنوان Trojan.AndroidOS.Dvmap.a شناسایی کرده اند.

شاید شما  به این نکته توجه کنید که نفوذ تروجان ها ، توزیع و گسترش بدافزار روت از طریق گوگل پلی خبر چندان تازه ای نیست . به عنوان مثال، تروجان   Ztorg  تقریبا حدود 100 بار از سپتامبر 2016 در فروشگاه گوگل پلی ارسال شده است.  اما باید گفت که تروجان  Dvmap  یک بدافزار روت خاص است که  از روش و تکنیک های به روز  و مختلفی استفاده می کند اما جالب اینجاست که  عملکرد این بدافزار تزریق کدهای مخرب به کتابخانه های سیستم  ( ibdmv.s  یا  libandroid_runtime.so) است .

قابل ذکر است که تروجان Dvmap  اولین بدافزار اندروید است که کدهای مخرب خود را به کتابخانه در  runtime  تزریق می کند و قابل توجه است که دانلود این بدافزار بیش از 50.000 بار در گوگل پلی بوده  است که آنتی ویروس بسیار قوی  کسپرسکی وجود این تروجان  را  تشخیص و به گوگل اعلام  کرد که  در حال حاضر باید گفت که  این تروجان از گوگل پلی حذف شده است .

سازندگان بد افزار برای دور زدن بررسی های امنیتی گوگلی پلی ،  از یک روش بسیار جالبی استفاده کردند :  آن ها یک اپلیکیشن فاقد  مشکل را بر روی این فروشگاه را upload  کردند و بعد از  آن اپلیکیشن را  توسط یک ورژن مخرب برای مدت کوتاهی  شروع به آپدیت app  کردند .  مجرمان این کار را حداقل 5 بار بین 15 تا 18 آوریل انجام دادند.  تمام اپلیکیشن های مخرب Dvmap این قابلیت های مشابه را  دارا بودند .  سازندگان این بد افزار چندین فایل آرشیو را از installation package رمزنگاری می کنند و سپس یک فایل اجرایی را با نام “start “راه اندازی می کنند.

جالب است بدانید  که این تروجان حتی قابلیت پشتیبانی  از نسخه های 64 بیتی اندورید هم  دارد  . زمانی  که این تروجان  بر روی سیستم  نصب شود آنوقت است که  تلفن را روت می کند  و به آن دسترسی کامل داشته باشد. پس از بدست آوردن دسترسی کامل، تلاش می کند تا ماژول های مختلفی که در بالا به آن اشاره کردیم را که شامل چند نوشته به زبان چینی همراه با یک برنامه مخرب به نام com.qualcmm.timeservices  است را بر روی سیستم نصب کند.

مجرمان برای اینکه اطمینان حاصل کنند که این ماژول مخرب با اجازه سیستم اجرا شود ، این بدافزار کتابخانه‌های runtime سیستم را بر اساس اینکه چه نسخه‌ای از اندروید بر روی سیستم نصب ‌شده است، دوباره بازنویسی می‌کند .

به طور خلاصه باید گفت که  این تروجان از طریق فروشگاه آنلاین گوگل پلی وارد می شوند  و از روش ها  تکنیک های بسیار خطرناک و جدید از جمله پچ کتابخانه های سیستم استفاده کرد. بدازفزار روت Dvmap ماژول های مخرب را با قابلیت های مختلف در سیستم راه اندازی می کند. اینطور که به نظر می رسد هدف اصلی این بدافزار بدست گرفتن اختیار کامل سیستم قربانی و اجرای فایل های دانلود شده توسط روت است.

و باید بدانید که آنتی ویروس بسیار قوی  کسپرسکی توانست این بدافزار عجیب و قوی را در مراحل اولیه  تشخیص ، شناسایی کند

 

چنان چه سوالی در رابطه با این مقاله سوالی  داشتید می توانید در بخش دیدگاه ها با ما در میان بگذارید.

 

بدافزار جدید به نام Dvmap و تاثیر آن بر روی گوگل پلی
2.5 امتیاز از 2 رای

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

×خدمت از ما
با اپلیکیشن راحت تره!
نصب اپلیکیشن