Topthemen

Dvmap: Diese Malware lässt sich so leicht nicht abschütteln

AndroidPIT virus 1
© nextpit

Die kürzlich durch Kaspersky beobachtete Android-Malware Dvmap ist auch in den Augen anderer Experten eine echte Bedrohung. Wir geben Tipps zum Schutz gegen die Malware und erklären, bis zu welchem Punkt und mit welchem Mitteln man sie wieder los wird.

Eine noch unbekannte Liste an Apps im Play Store scheint von einer schwer erkennbaren Malware betroffen zu sein. Die Malware, derzeit von Kaspersky als Dvmap bezeichnet, selbst befindet sich noch in ihrer Entwicklungsphase und trägt an sich noch keine schädlichen Funktionen. Dennoch kann sie infizierte Android-Smartphones jederzeit mit Schadcode beliefern, der dann zentral koordiniert ausgeführt wird.

Die Malware-Experten von AV-Test, um genau zu sein Android-Security-Teamleiter Marcel Wabersky erklärt uns, was an der Malware neu ist und warum wir uns auf eine neue Qualität der Bedrohung einstellen sollten. Er hatte das Sample, das Kaspersky beschreibt, bereits in seiner Datenbank.

"Der Trojaner kombiniert verschiedene Angriffe wie das Rooten des Gerätes, nativen Code (Binaries) und Apps (Service). Diese 3 Szenarien sind seit längerem bekannt. Das Patchen einer ganzen nativen Android-Bibliothek (für 32 und 64 Bit), so wie es Dvmap macht, ist aber von anderer Qualität.

Die von der Malware benutzten Assets geben vor, PNG-Dateien zu seien, sind im Endeffekt aber codierte Binaries oder Skripte, ein Dateicheck lässt sich damit täuschen. Auch dies wurde früher schon gemacht um sich zu tarnen."

Bis zu diesem Zeitpunkt könnte man sich mit Malware-Erkennungs-Apps noch vor dem Trojaner schützen, denn "die Hashes von nativer Malware können von den meisten Android-Scannern erkannt werden." Doch durch die Beschaffenheit von Dvmap-Malware sind Malware-Schutz-Apps höchstens zur Vorbeugung geeignet.

"Hat sich die Malware allerdings fest im System einklinkt und Systemrechte erlangt, ist es für die Virenscanner durch das Rechtesystem unmöglich, sie dort unschädlich zu machen. Mit Systemrechten ausgestattete Malware lässt sich durch den Nutzer nur schwer vom System entfernen. Hier hilft nur, das System neu einzuspielen, um auf der sicheren Seite zu sein."

Dies liegt daran begründet, dass Anti-Malware-Apps aufgrund des so genannten Sandboxings andere Apps nicht berühren dürfen. Selbst mit Administratorrechten geht dies nicht. Lediglich Google könnte aus der Ferne die Malware von Eurem Gerät löschen. Dies setzt jedoch voraus, dass die Malware die dem zu Grunde liegende Mechanik nicht ausgehebelt hat.

odin samfirm sammobile update
Das erneute Aufspielen der Systempartition ist für Laien zu aufwändig. / © ANDROIDPIT

Das System neu einzuspielen, dürfte für etliche Laien eine große Herausforderung darstellen, da dies eines PCs und einiger Software bedarf, mit der die wenigsten Nutzer je hantieren. Noch schwieriger wird es allerdings sein, überhaupt herauszufinden, wann ein Gerät von Dvmap-basierter Malware betroffen ist.

Bislang sind den Malware-Experten nur wenige Muster auf den Labortisch gebracht worden. Teil des Malware-Designs ist es, sich vor den automatischen Scan-Methoden zu verstecken und nur zeitweise infizierte Versionen der Apps im Play Store anzubieten. So kann es beliebig lang dauern, bis eine vollständige Liste entsprechender Apps vorliegt. Bis dahin tappen wir einfach im Dunkeln.

Die infizierten Apps selbst machen derzeit noch nichts. Bis jetzt nisten sie sich lediglich in Smartphones ein und stellen eine Verbindung zu ihren Schöpfern her. So bereiten die Autoren ein Botnet aus hunderttausenden Smartphones vor. Auf dem Schwarzmarkt ist der Zugriff darauf viel Geld wert, schließlich lassen sich damit größere Denial-of-Service-Attacken starten, etwa um Websites oder -Dienste außer Gefecht zu setzen und verwundbar zu machen.

Wir werden weiter verfolgen, mit welchen Schutzmechanismen das Android-Ökosystem noch aufwartet, um unsere Geräte vor derlei Missbrauch zu wappnen. Bis dahin könnt Ihr gerne einen Kommentar hinterlassen mit Euren Erfahrungen mit Android-Malware.

Die besten Samsung-Smartwatches 2024

  Standardversion von 2023 Classic-Version von 2023 Standardversion von 2022 Pro-Version von 2022 Standardversion von 2021 Classic-Version von 2021
 
  Samsung Galaxy Watch 6 Product Image Samsung Galaxy Watch 6 Classic Product Image Samsung Galaxy Watch 5 Product Image Samsung Galaxy Watch 5 Pro Product Image Samsung Galaxy Watch 4 Product Image Samsung Galaxy Watch 4 Classic Product Image
Test
Zum Test: Samsung Galaxy Watch 6
Noch nicht getestet
 
Noch nicht getestet
 
Zum Test: Samsung Galaxy Watch 5 Pro
Zum Test: Samsung Galaxy Watch 4
Noch nicht getestet
 
Zum Angebot*
Zu den Kommentaren (12)
Eric Ferrari-Herrmann

Eric Ferrari-Herrmann
Senior Editor

Eric ist seit 2014 bei AndroidPIT. Seine alte Tech-Leidenschaft wird allmählich unterwandert von der Liebe zu mehr Nachhaltigkeit, Privatsphäre und dem Wunsch nach einer Zukunft für alle.

Zum Autorenprofil
Hat Dir der Artikel gefallen? Jetzt teilen!
Empfohlene Artikel
Neueste Artikel
Push-Benachrichtigungen Nächster Artikel
12 Kommentare
Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!
Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!

  • 62
    René H. 15.06.2017 Link zum Kommentar

    Mir stellt sich die Frage auf wieviele Apps das zutreffen wird, wo doch die "Sicherheitsleute" keine Listen veröffentlichen. Aber m.E. ist das auch nur eine Folge der Geiz-ist-geil-Gesellschafft. Seriöse Softwarehersteller wird das wohl eher nicht betreffen.


  • Takeda 53
    Takeda 14.06.2017 Link zum Kommentar

    Ich habe immer eine aktuell Firmware oder Custom Rom auf dem PC die ich dann per odin einspielen kann. Mit odin ist es eine einfache Sache, auch für Laien nicht schwer.


  • Takeda 53
    Takeda 14.06.2017 Link zum Kommentar

    Das wird leider nicht der letzte dieser Art sein. Jeder hat ein smartphone, mitlerweile sind mehr smartphone im Umlauf als PC's und mehr Android als IOS. Es war klar das es mal so kommen wird. Am anfälligsten werden die Handys sein die kein update mehr bekommen, somit auch die Schwachstellen nicht mehr geschlossen werden. Helfen würde da nur eine aktuelle Custom Rom.


  • MajorTom 58
    MajorTom 13.06.2017 Link zum Kommentar

    Zitat -
    "Der Trojaner kombiniert verschiedene Angriffe wie das Rooten des Gerätes, nativen Code (Binaries) und Apps (Service). Diese 3 Szenarien sind seit längerem bekannt. Das Patchen einer ganzen nativen Android-Bibliothek (für 32 und 64 Bit), so wie es Dvmap macht, ist aber von anderer Qualität."

    Das sehe ich genauso. Das ist der Totalverlust meiner Hoheit über das Gerät. Erschreckend welche Szenarien mit solch einem Schlüsselloch mir einfallen. Und sowas versteckt als PNG und in Apps...

    Alter Schlappen


  • 104
    Tenten 13.06.2017 Link zum Kommentar

    Das ganze liest sich eher wie eine Werbung für Kaspersky. Zweiter Artikel in kurzer Zeit mit fast identischem Inhalt.
    Was sagt denn nun Google dazu? Die müssen doch eine Meinung dazu haben, wenn das so eine gigantische Bedrohung ist, wie Kaspersky das darstellt. Ich warte noch auf den dritten Artikel, in dem uns Kaspersky mitteilt, dass wir uns vor diesem Armageddon nur schützen können, wenn wir ihre Software nutzen.

    Tut mir leid, Apit, ihr habt mit euren vielen als Artikel verkleideten Werbungen eure Glaubwürdigkeit verspielt. Ich glaube euch und Kaspersky erst, wenn sich auch Google dazu zu Wort meldet. Aber vielleicht ist das ja bereits geschehen und jemand kann mich aufklären?

    DieselMonkey D. RuffyJoe F.Gelöschter Account


    • MajorTom 58
      MajorTom 13.06.2017 Link zum Kommentar

      Nun ja, Eugene Kaspersky ist ja auch außerhalb seiner Firma sowas wie ein Ritter oder Papst der Datensicherheit. Schwer zu sagen ob nun versteckte Werbung oder einfach der Sachverhalt.

      Tenten


      • 104
        Tenten 13.06.2017 Link zum Kommentar

        Dann sollte er auch mal diese Liste der Apps veröffentlichen. Oder zumindest an Google weitergeben, dass die bislang gefundenen Apps aus dem Store entfernt werden. So ist das nur Angstmacherei.

        Gelöschter Account


    • Eric Ferrari-Herrmann 44
      Eric Ferrari-Herrmann 13.06.2017 Link zum Kommentar

      Ich hab auch bei ESET angefragt. Dort hat man die Malware ebenfalls entdeckt, jedoch später. Und Kaspersky gibt uns kein Geld.

      Leon R.Joe F.Tenten


      • 20
        Benny 13.06.2017 Link zum Kommentar

        Kein Geld? Kein Kurzurlaub, keine Theater Karten? Nichts? Da sollte Euer Chef mal 'nen cleveren Kaufmann einstellen. Nur meine Ansicht.


  • Conjo Man 52
    Conjo Man 13.06.2017 Link zum Kommentar

    warum wird zu diesem Thema ein neuer Thread eröffnet?!... (man weiß es nicht)


    • 26
      C B 13.06.2017 Link zum Kommentar

      Das hat die PC-Variante der DVMAP-Malware gemacht.

      m.jonasEric Ferrari-Herrmann


  • severin 38
    severin 13.06.2017 Link zum Kommentar

    Böse leute gibt es leider immer und überall.
    Und irgendeinen Weg finden sie immer um andere Leute übers Ohr zu hauen.

    MarkusSamuelIngalena

Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!
VG Wort Zählerpixel