在Google Play Store上发现首个具有代码注入功能的Android Rooting特洛伊木马

官方Play Store上检测到一种新的安卓寻根恶意软件，该软件能够禁用设备的安全设置，以便在后台执行恶意任务。

该应用程序足够聪明，可以先假装自己是一个干净的应用程序，然后暂时用恶意版本替换它，从而愚弄谷歌的安全机制。

卡巴斯基实验室（Kaspersky Lab）的安全研究人员发现了一个新的安卓植根恶意软件，该软件作为游戏应用程序在谷歌Play商店（Google Play Store）上发布，隐藏在益智游戏（puzzle game）后面色块“在被删除之前，它至少被下载了5万次。

配音Dvmap，Android rooting恶意软件会禁用设备的安全设置，从第三方源安装另一个恶意应用程序，并将恶意代码注入设备系统运行库，以获得根访问权限并保持持久性。

研究人员说：“为了绕过谷歌Play商店的安全检查，恶意软件的创建者使用了一种非常有趣的方法：他们在2017年3月底将一个干净的应用程序上传到商店，然后在短时间内用恶意版本对其进行更新。”

“通常他们会在同一天将一个干净的版本上传回谷歌Play。在4月18日至5月15日期间，他们至少上传了5次。”

以下是Dvmap恶意软件的工作原理

Dvmap特洛伊木马可在32位和64位版本的Android上运行。Android一旦安装，就会试图在设备上获得root访问权限，并试图在系统上安装多个模块，包括一些用中文编写的模块，以及一个名为“com.qualcmm.timeservices”的恶意应用程序

为了确保恶意模块以系统权限执行，恶意软件会根据设备运行的Android版本覆盖系统的运行库。

要完成上述恶意应用的安装，具有系统权限的特洛伊木马将关闭“应用验证，“功能和修改系统设置，以允许从第三方应用商店安装应用程序。

此外，它还可以授予“com”。奎尔克姆。研究人员说，timeservices“应用程序设备管理员权限，无需与用户进行任何交互，只需运行命令。这是获得设备管理员权限的一种非常不寻常的方式。”。

此恶意第三方应用程序负责将受感染的设备连接到攻击者的命令和控制服务器，将设备的完全控制权交给攻击者。

然而，研究人员说，到目前为止，他们还没有注意到被感染的安卓设备接收到任何命令，因此目前尚不清楚“将执行什么类型的文件，但它们可能是恶意文件或广告文件。”

如何保护自己免受Dvmap恶意软件的攻击

研究人员仍在测试Dvmap恶意软件，但与此同时，建议安装相关益智游戏的用户备份设备数据，并执行完整的出厂数据重置，以减轻恶意软件的影响。

为了防止自己成为此类应用的目标，即使从谷歌Play Store下载，也要时刻提防可疑的应用，并尽量只使用受信任的品牌。此外，请随时查看其他用户留下的评论。

在安装任何应用程序之前，请始终验证应用程序权限，并仅授予具有应用程序用途相关上下文的权限。

最后但并非最不重要的一点是，始终在你的设备上保留一个良好的防病毒应用程序，可以在恶意软件感染你的设备之前检测并阻止此类恶意软件，并使其保持最新。