AbstractEmu Android злонамерен софтуер „рутва“ смартфони и избягва откриването

Хелга Смитоктомври 31, 2021Последна актуализация: октомври 31, 2021
1 Минута четене

Изследователи от Lookout Threat Labs са открили нов зловреден софтуер за Android, наречен AbstractEmu, който „руутва” заразени устройства, което се превърна в доста рядка практика за такъв зловреден софтуер през последните години.

AbstractEmu дойде в комплект с 19 приложения, разпространявани чрез Google Play и магазини за приложения на трети страни (включително Amazon Appstore, Samsung Galaxy Store, Aptoide, и APKPure).

Това е важно откритие, тъй като руутнатият зловреден софтуер се превърна в рядкост през последните пет години. Чрез използване на „рутване“, за да получите привилегирован достъп до операционната система, атакуващият може дискретно да си даде опасни разрешения или да инсталира допълнителен зловреден софтуер, въпреки че такива стъпки обикновено изискват взаимодействие с потребителя.казват експертите.

Заразените приложения бяха мениджъри на пароли и различни системни инструменти, включително инструменти за запазване на данни и стартиране на приложения. По същото време, за да избегнете подозрението, всички те наистина работеха и имаха декларираната функционалност.

Злонамерените приложения вече са премахнати от Google Play Store, но други магазини за приложения вероятно все още ги разпространяват. Изследователите казват, че само едно от заразените приложения, Олекотена програма за стартиране, имаше над 10,000 изтегляния, когато е премахнат от Google Play.

AbstractEmu няма сложна функционалност и не използва функцията „без кликване“.’ отдалечени експлойти, които се срещат в сложни APT атаки. [Зловреден софтуер] просто се активира от потребителя, който е отворил приложението. Тъй като зловредният софтуер е маскиран като работещи приложения, повечето потребители вероятно ще взаимодействат с него малко след изтеглянето.пишат изследователите

След инсталирането AbstractEmu започва да събира и изпраща различна системна информация към своя команден и контролен сървър и чака допълнителни команди.

AbstractEmu изпраща системна информация

След това, Операторите на AbstractEmu могат да дават на зловредния софтуер различни команди, например, вземете root права, събирайте и крадете файлове в зависимост от това колко са нови или съответстват на даден модел, и инсталирайте нови приложения.

AbstractEmu команди

AbstractEmu има експлойти за няколко известни уязвимости в своя арсенал, за да получи root привилегии на заразени устройства. Експертен доклад отбелязва, че един от грешките, CVE-2020-0041, никога преди не е бил използван от приложения за Android.

Зловреден софтуер също така използва при атаки публично достъпни експлойти за проблеми CVE-2019-2215 и CVE-2020-0041, и уязвимост CVE-2020-0069, намерени в MediaTek чипове, широко използван от десетки производители на смартфони и инсталиран на милиони устройства.

След руутване на устройството, AbstractEmu може да проследява известия, правете екранни снимки и записвайте видео на екрана, или дори да блокира устройството или да нулира паролата му.

Изследователите казват, че все още не са успели да определят какъв вид злонамерена дейност ще извърши зловреден софтуер след инсталирането, но съдейки по получените разрешения, може да се предположи, че AbstractEmu има прилики с банковите троянски коне и шпионския софтуер (като например Той го включи, Лешояд и Мандрагора).

Позволете ми да ви напомня, че също сме го написали Зловреден софтуер за Android GriftHorse заразени над 10 милиони устройства.

Етикети
Хелга Смитоктомври 31, 2021Последна актуализация: октомври 31, 2021
1 Минута четене

Хелга Смит

Винаги съм се интересувал от компютърни науки, особено сигурността на данните и темата, което се нарича в наши дни "наука за данни", от ранните ми тийнейджърски години. Преди да дойде в екипа за премахване на вируси като главен редактор, Работил съм като експерт по киберсигурност в няколко компании, включително един от изпълнителите на Amazon. Друг опит: Преподавам в университетите Арден и Рединг.

Оставете коментар

Този сайт използва Akismet за намаляване на спама. Научете как се обработват вашите коментарни данни.

Бутон за връщане в началото