Parece que no pasa una sola semana sin que no se descubra una nueva forma de malware para Android que funciona de una manera única. Afortunadamente, en la mayoría de los casos, Google y expertos de seguridad de terceras entidades identifican a los infractores antes de que hagan algún daño serio.
Ahora, se acaba de descubrir un malware troyano llamado Dvmap, ubicado en un juego de Google Play Store llamado Colourblock. Este malware tiene una táctica sin precedentes: inyecta código en la biblioteca del sistema de Android.
Según reporta Kaspersky Labs, este es el primer ejemplo de malware en el sistema operativo con esa capacidad. Colourblock ha sido descargado supuestamente más de 50.000 veces, aunque Google quitó el juego después de que Kaspersky lo trajo a la atención de la compañía.
El peligro del malware que sobrescribe el contenido de la biblioteca del sistema, en esta instancia en particular, es que puede deshabilitar la función de Verify Apps de Android. Esto permitiría la instalación gratuita y no comprobada de software descargado, sin el conocimiento o la aprobación del usuario. Al reemplazar la biblioteca, el troyano Dvmap también elimina servicios clave de los que muchas aplicaciones dependen para funcionar correctamente. Esto significa que las aplicaciones normalmente estables podrían empezar a bloquear tu dispositivo.
Dvmap incluso elimina el acceso de raíz para cubrir sus pistas. Esto es particularmente peligroso para las aplicaciones que se ocupan de información sensible, que dependen de la detección para operar de forma segura, como por ejemplo, las aplicaciones bancarias.
Roman Unuchek de Kaspersky, señaló en su análisis que aunque el malware troyano poseía la capacidad de descargar y ejecutar archivos, nunca recibió ningún comando durante su investigación. Esto podría significar que los desarrolladores todavía están ampliando su alcance y probando sus métodos antes de lanzar el ataque completo.
Curiosamente, Colourblock ha sido capaz de evitar la acción de Google y permanecer bajo el radar porque los desarrolladores han estado regularmente «actualizando» la aplicación, mediante la liberación de una mezcla de versiones limpias y maliciosas. El primer lanzamiento era limpio, pero fue substituido entonces por otro que contiene Dvmap después de un período de tiempo corto. Esa versión fue cambiada con otra aplicación limpia, y luego otra vez con una infectada. Se presume que los desarrolladores habían realizado el intercambio por lo menos cinco veces entre abril y mayo.
