Napokon se i to dogodilo. Android malwarei na koje smo pomalo naviknuli i za koje gotovo svaki korisnik zna su sada stara priča i stvar prošlosti. Otkriven je prvi, pravi virus za Android uređaje. Radi se o virusu po imenu Dvmap.
Kako točno ovaj virus funkcionira na Android operativnim sustavima još uvijek nije 100% poznato, no ono što je poznato jest to da je Dvmap ”naučio” načine ubacivanja svojih kodova i da bi se zbog tih mogućnost Dvmap mogao uskoro koristiti kao dio velikog planiranog napada na Android uređaje diljem svijeta.
Prema onome što su stručnjaci iz Kaspersky Lab-a saznali i otkrili, dobili smo neke vijesti u vezi toga kako se ovaj virus može širiti kao i potencijalne načine na koje Dvmap može zaraziti aplikacije, a samim time i uređaj koji u sebi ima Android OS i to usprkos svim mjerama sigurnosti koje ima Google Trgovina.
Bounceri više nisu ‘sigurna’ mjera sigurnosti Google Trgovine
Kasperski Lab i njegovi stručnjaci već neko vrijeme, točnije od travnja 2014. budno prate razvoje i ‘distribuciju’ trojanskih konja na u Google Play Store. Dvmap je takva vrsta zlokobnog programa koji se duže vrijeme uspješno skrivao i cijelo to vrijeme boravio na stranicama i među aplikacijama Google Play Storea.
Dvmap je tako uspješno izbjegavao različite načine verifikacije i kontrole aplikacija i rada stranice i to na način da je Dvmap redovito zamijenjivao svoj kod sa ”čistim” kodom (tako da bi kada god bi sustav provjere bio u tijeku Dvmap bio vidljiv kao dio normalnog koda i zbog toga ga sustavi mjera sigurnosti ne bi mogli locirati) i obrnuto.
Ono što isto tako sa sigurnošću znamo jest to da Bounceri (poseban sustav mjera sigurnosti Google Play Storea kojeg je Google implementirao 2012. godine) sada mogu biti prevareni i zavarani i to na vrlo lak način.
Radi se posebnoj vrsti trojanskog konja klasificiranog pod imenom ”Trojan.AndroidOS.Dvmap.a”
Ova vrsta zlokobnog koda je od strane stručnjaka iz Kaspersky Lab-a klasificirana pod Trojan.AndroidOS.Dvmap.a imenom. Prema mišljenju stručnih ljudi radi se zaista opasnoj i nepredvidivoj ‘vrsti’ trojanskog konja.
Ne samo da Dvmap pokušava ostvariti pristup root privilegijama na čak četiri različita načina (čak i sa 64-bitnim kompatibilnim kodom), nego osim toga Dvmap radi i to da ubacuje štetni kod u knjižnice (libraries) operativnog sustava, i to u libdmv.so i libandroid_runtime.so.
Nakon toga, ovaj trojanac će započeti pokretanje mehanizama za zaštitu u namjeri da odobri, verificira i potvrdi instalaciju različitih third-party aplikacija. Ovo se može učiniti kroz administratorski servis koji se zove com.qualcmm.timeservices. To ne bi bio nikakav problem da taj servis ne izgleda slično kao normalan, legitiman servis koji radi u pozadini operativnog sustava, a koji se zove com.qualcomm.timeservices.
Zasad oko 50 000 potencijalno zaraženih Android uređaja?
Postoji još jedan veliki problem u vezi Dvmap-a. S obzirom da će Dvmap moći ili da bi mogao bez problema ili djelovati na instalaciju ili čak sam instalirati različite third-party aplikacije na svim uređajima koji budu zaraženi ovom vrstom malwarea, osoba (ili osobe) koje su osmislile ovaj kod bi tako mogle Dvmap ponuditi na crnome tržištu svakome tko bude bio zainteresiran.
To znači da bi u budućnosti Dvmap mogao pripasti onome tko ponudi više, a kako bi se to onda odrazilo na živote Android korisnika možemo pretpostaviti. Za sada je spomenuto samo oko 50 000 potencijalno zaraženih uređaja koji u sebi imaju Dvmap, no ako uzmemo u obzir činjenicu da se stvari na crnom tržištu vrlo teško mogu detektirati i da nitko sa sigurnošću ne može reći kako zapravo stvari tamo stoje, ono što je vrlo vjerojatno jest to da je u pitanju puno veći broj zaraženih uređaja.
Dva načina manipulacije
U teoriji, Google ima načine, mogućnosti i sposobnosti detektirati sve štetne i neželjene stvari koje se nalaze na bilo kojem Android uređaju i to na daljinu izravno sa uređaja. No, ako se sjetimo da Dvmap može vrlo lako manipulirati knjižnicama sustava, to isto tako znači da bi Dvmap vrlo lako mogao spriječiti ili čak prijaviti to da je uređaj siguran ili da se na njemu ništa štetno ne nalazi (iako je u biti istina sasvim suprotna).
Izuzev toga, Dvmap bi, u slučaju da ga Google detektira i obriše, to mogao istog trenutka ”javiti” onome tko ga je postavio na uređaj(e). Nakon takvog javljanja, kreator malwarea bi onda mogao instalirati revizioniranu verziju malwarea pod drugačijim imenom i na takav način bi mogao još jednom izbjeći sustave provjere i zaštite.
Ima li nade za nas?
Postoji li neki konkretan način zaštite ili način putem kojeg se neki zaraženi uređaj može osloboditi ovakvog malwarea? Zasad se kao jedini pravi načini ‘izlječenja’ zaraženog Android uređaja spominje formatiranje sustavne particije i ponovno instaliranje originalnog firmwarea operativnog sustava. No, problem je u tome što velik broj korisnika to neće moći učiniti sami nego će se trebati obratiti za pomoć stručnjacima na tom području.
Jedini način za prevenciju i sprječavanje zaraze kojeg svaki korisnik može učiniti i poduzeti jest nabavljanje i instalacija najnovijih sigurnosnih zakrpa. No nažalost, ovo je opet nešto što je dostupno samo određenom broju korisnika koji nije velik. Velik broj developera i proizvođača Android uređaja rade na takav način da sve sigurnosne zakrpe koji trebaju izaći i biti dostupni za njihove uređaje ili uopće ne izađu i ne budu dostupni u velikom dijelu svijeta ili izađu ali sa ‘zakašnjenjem’.
Jedan od glavnih uzroka toga jest taj što je implementacija i razvoj ”up-to-date” sigurnosnih zakrpa vrlo skupa, a ono čega se proizvođači najviše boje je to da kupci neće kupovati nove uređaje iz njihovog asortimana ako za stare uređaje još uvijek izlaze sigurnosne zakrpe, tako da je nažalost i ovdje profit iznad sigurnosti i interesa korisnika.
Pazite što skidate i uvijek se trudite biti ”up-to-date”
Što je ono što svaki korisnik koji se malo više razumije u Android može učiniti za sebe osobno? Kao prvo- maksimalno pazite na to što je ono što skidate s interneta i odakle to skidate. Iako ni Google Trgovina više nije ”najsigurnije mjesto na svijetu”, ta stranica je još uvijek puno sigurnija od različitih drugih third-party stranica.
Druga stvar jest da se trudite koliko je do vas da vaš uređaj uvijek ima najnoviju sigurnosnu zakrpu (ako je to moguće) i da imate neki dobar antivirus. Zasad bi to bilo to, a za sve dodatne informacije nas pratite na našim službenim stranicama.
Piše: I.H.
