AbstractEmu Android malware „rootuje“ smartphony a vyhýbá se detekci

Helga Smithříjen 31, 2021Naposledy aktualizováno: říjen 31, 2021
101 1 minutové čtení

Výzkumníci z Lookout Threat Labs objevili nový malware pro Android s názvem AbstractEmu, který „rootuje“ infikovaná zařízení, což se v posledních letech pro takový malware stalo spíše vzácnou praxí.

AbstraktEmu přišel v balení s 19 aplikace distribuované prostřednictvím Google Play a obchody s aplikacemi třetích stran (počítaje v to Amazonka Obchod s aplikacemi, Samsung Galaxy Store, Aptoide, a APKPure).

To je důležitý objev, protože zakořeněný malware se za posledních pět let stal vzácností. Pomocí „rootování“ získáte privilegovaný přístup k operačnímu systému, útočník si může diskrétně udělit nebezpečná oprávnění nebo nainstalovat další malware, ačkoli takové kroky obvykle vyžadují interakci uživatele.říkají odborníci.

Infikovanými aplikacemi byli správci hesel a různé systémové nástroje, včetně nástrojů pro ukládání dat a spouštění aplikací. Ve stejnou dobu, aby se předešlo podezření, všechny opravdu fungovaly a měly deklarovanou funkčnost.

Škodlivé aplikace byly nyní odstraněny z obchodu Google Play, ale ostatní obchody s aplikacemi je pravděpodobně stále distribuují. Výzkumníci tvrdí, že pouze jedna z infikovaných aplikací, Lite Launcher, měl konec 10,000 stahování, když byl odebrán z Google Play.

AbstractEmu nemá komplexní funkce a nepoužívá „clickless“.’ vzdálené exploity, které se nacházejí v sofistikovaných APT útocích. [malware] je jednoduše aktivován uživatelem, který aplikaci otevřel. Protože malware je maskován jako spuštěné aplikace, většina uživatelů s ním pravděpodobně bude pracovat krátce po stažení.píší vědci

Po instalaci začne AbstractEmu shromažďovat a odesílat různé systémové informace na svůj příkazový a řídicí server a čeká na další příkazy.

AbstractEmu odesílá systémové informace

Potom, Operátoři AbstractEmu mohou dávat malwaru různé příkazy, například, získat práva roota, sbírat a krást soubory v závislosti na tom, jak jsou nové nebo jak odpovídají danému vzoru, a nainstalovat nové aplikace.

AbstractEmu příkazy

AbstractEmu má ve svém arzenálu exploity pro několik známých zranitelností k získání práv root na infikovaných zařízeních. Expertní zpráva uvádí, že jedna z chyb, CVE-2020-0041, aplikace pro Android dosud nikdy nepoužívaly.

Malware také používá při útocích veřejně dostupné exploity na problémy CVE-2019-2215 a CVE-2020-0041, a zranitelnosti CVE-2020-0069, nalezen v MediaTek bramborové hranolky, široce používané desítkami výrobců smartphonů a instalované na milionech zařízení.

Po rootnutí zařízení, AbstractEmu může sledovat oznámení, pořizovat snímky obrazovky a nahrávat video z obrazovky, nebo dokonce zablokovat zařízení nebo resetovat jeho heslo.

Vědci tvrdí, že zatím nebyli schopni určit, jaký druh škodlivé činnosti bude malware po instalaci provádět, ale soudě podle obdržených povolení, lze předpokládat, že AbstractEmu má podobnosti s bankovními trojskými koni a spywarem (jako Anatsa, Sup a Mandragora).

Připomínám, že jsme to také napsali Malware pro Android GriftHorse infikován přes 10 milionů zařízení.

Značky
Helga Smithříjen 31, 2021Naposledy aktualizováno: říjen 31, 2021
101 1 minutové čtení

Helga Smith

Vždy mě zajímaly počítačové vědy, zejména zabezpečení dat a téma, kterému se dnes říká "datová věda", od mých raných dospívajících. Před příchodem do týmu pro odstranění virů jako šéfredaktor, Pracoval jsem jako odborník na kybernetickou bezpečnost v několika společnostech, včetně jednoho z dodavatelů Amazonu. Další zkušenost: Mám výuku na univerzitách Arden a Reading.

zanechte odpověď

Tato stránka používá Akismet snížit spam. Přečtěte si, jak se váš komentář údaje zpracovávány.

Tlačítko Zpět nahoru