Découvert par Kaspersky Lab qui a alerté Google le 25 mai, le malware baptisé Dvmap a été supprimé du Google Play Store en début de semaine. Il a été repéré dans une application colourblock présentée comme un jeu de puzzle.

Une fois installé, Dvmap tente d'obtenir des droits d'accès root avec un exploit en local et d'installer des modules. Il lance un fichier pour vérifier la version d'Android exécutée sur l'appareil et injecter du code dans des bibliothèques logicielles du système.

Ces dernières peuvent être libdvm.so ou libandroid_runtime.so en fonction de la version d'Android et de son ancienneté. Elles sont en rapport avec les environnements d'exécution Dalvik et ART (machines virtuelles).

colourblock-dvmap
Après un tel patch, un module peut notamment désactiver la fonctionnalité d'analyse de sécurité Verify Apps et autoriser le téléchargement d'applications depuis des sources non sûres. Comme Dvmap semble être en phase de développement, l'alerte s'arrête à ce stade.

Kaspersky Lab indique en effet que lors de son analyse, aucun serveur de commande et contrôle n'a envoyé de commandes malveillantes. Le malware aurait ainsi été découvert à un stade précoce. L'éditeur fait toutefois part d'une certaine inquiétude : " Le code malveillant s'injecte directement dans les bibliothèques système où il est plus difficile à détecter et supprimer. "

À noter par ailleurs que pour contourner les contrôles de sécurité de Google Play, une application saine a été mise en ligne fin mars, puis elle a ensuite été mise à jour avec une version malveillante pendant un court laps de temps, avant la remise en ligne d'une version saine. Un manège qui a été réalisé au moins cinq fois en l'espace de quatre semaines.