翻译：360代码卫士

投稿方式：发送邮件至linwei#360.cn，或登陆网页版在线投稿

前言

一款具有安卓root能力的恶意软件Devmap出现在谷歌应用商店中，它能够禁用设备的安全设置在后台执行恶意任务。

具有root能力的恶意APP伪装成游戏传播

有意思的是，Devmap首先会伪装成一款合法app随后在更新中推出恶意版本。它会伪装成名为“颜色拼块 (colourblock)”的猜谜游戏app进行传播，在被删之前，它已被下载至少5万次。

Dvmap会禁用设备的安全设置从第三方来源中安装另外一款恶意app并将恶意代码注入设备系统运行时间库来获取根权限并保持持续访问权限。

Devmap如何运作

Dvmap木马在32位和64位的安卓版本中都起作用，一旦被安装，它就会尝试获取根权限并试图在系统上安装多个模块包括用中文写的几个模块，以及名为”com.qualcmm.timeservices”的恶意app。

为确保这些恶意模块能以系统权限执行，Devmap会根据设备运行的安卓版本覆写系统的运行时间库。

为了完成对以上恶意app的安装，具有系统权限的木马会关闭从第三方app商店下载app的功能和修改系统设置Verify Apps。另外，它能给予”com.qualcmm.timservices” app 设备管理员权限且无需跟用户交互，只需运行命令即可。这是获取设备管理员权限的非常少见的方法。

这个恶意第三方app会将受感染设备连接到攻击者的命令和服务器中，从而导致设备完全被攻击者控制。然而，研究人员指出，他们尚未发现受感染安卓设备接受任何命令，因此目前尚不清楚“哪种文件会被执行，但可能是恶意或广告文件”。

如何防范

研究人员仍在测试Dvmap恶意软件，不过他们建议安装了“颜色拼块”游戏的用户备份设备数据并回复出厂设置以缓解这款恶意软件。

用户应警惕可疑app，即使是从谷歌应用商店下载的也不例外，并尝试仅从受信任品牌下载。另外，要关注其他用户的留言。在安装任何app钱要验证app权限并且只授予那些必须的权限。最后一定要安装一款好的杀毒app用于检测并拦截此类恶意软件并保持设备处于最新版本状态。