AbstractEmu Android malware "roder" smartphones og unddrager sig opdagelse

Helga Smithoktober 31, 2021Sidst opdateret: oktober 31, 2021
101 1 minuts læsning

Forskere ved Lookout Threat Labs har opdaget en ny Android malware kaldet AbstractEmu, som "roder" inficerede enheder, hvilket er blevet en ret sjælden praksis for sådan malware i de senere år.

Abstrakt Emu fulgte med 19 apps distribueret igennem Google Play og tredjeparts appbutikker (inklusive Amazon App butik, Samsung Galaxy Store, Aptoide, og APKPure).

Dette er et vigtigt fund, da rodfæstet malware er blevet en sjældenhed i løbet af de sidste fem år. Ved at bruge "rooting" for at få privilegeret adgang til operativsystemet, en angriber kan diskret give sig selv farlige tilladelser eller installere yderligere malware, selvom sådanne trin normalt kræver brugerinteraktion.siger eksperterne.

De inficerede applikationer var adgangskodeadministratorer og forskellige systemværktøjer, herunder værktøjer til at gemme data og starte applikationer. På samme tid, for at undgå mistanke, de virkede alle virkelig og havde den erklærede funktionalitet.

De ondsindede apps er nu blevet fjernet fra Google Play Butik, men andre app-butikker distribuerer dem sandsynligvis stadig. Forskere siger, at kun en af ​​de inficerede applikationer, Lite Launcher, havde overstået 10,000 downloads, da den blev fjernet fra Google Play.

AbstractEmu har ikke kompleks funktionalitet og bruger ikke den 'klikfrie'’ fjernudnyttelser, der findes i sofistikerede APT-angreb. [Malware] aktiveres blot af den bruger, der åbnede applikationen. Da malwaren er forklædt som kørende applikationer, de fleste brugere vil sandsynligvis interagere med det kort efter download.skriver forskerne

Efter installationen begynder AbstractEmu at indsamle og sende forskellige systemoplysninger til sin kommando- og kontrolserver og venter på yderligere kommandoer.

AbstractEmu sender systeminformation

Efter det, AbstractEmu-operatører kan give malwaren forskellige kommandoer, for eksempel, få root-privilegier, indsamle og stjæle filer afhængigt af hvor nye de er eller matche et givet mønster, og installere nye applikationer.

AbstractEmu kommandoer

AbstractEmu har udnyttet adskillige kendte sårbarheder i sit arsenal for at få root-privilegier på inficerede enheder. En ekspertrapport bemærker, at en af ​​fejlene, CVE-2020-0041, har aldrig været brugt af Android-apps før.

Malwaren bruger også i angreb offentligt tilgængelige udnyttelser til problemer CVE-2019-2215 og CVE-2020-0041, og sårbarhed CVE-2020-0069, fundet i MediaTek chips, udbredt af snesevis af smartphone-producenter og installeret på millioner af enheder.

Efter at have rootet enheden, AbstractEmu kan spore meddelelser, tage skærmbilleder og optage video af skærmen, eller endda blokere enheden eller nulstille dens adgangskode.

Forskerne siger, at de endnu ikke har været i stand til at fastslå, hvilken slags ondsindet aktivitet malwaren vil udføre efter installationen, men at dømme efter de modtagne tilladelser, det kan antages, at AbstractEmu har ligheder med banktrojanske heste og spyware (såsom Anatsa, Grib og Mandrake).

Lad mig minde dig om, at vi også skrev det Android malware GriftHorse inficeret over 10 millioner enheder.

Mærker
Helga Smithoktober 31, 2021Sidst opdateret: oktober 31, 2021
101 1 minuts læsning

Helga Smith

Jeg var altid interesseret i datalogi, især datasikkerhed og temaet, som kaldes i dag "datavidenskab", siden mine tidlige teenagere. Før du kommer ind i Virus Removal-teamet som chefredaktør, Jeg arbejdede som cybersikkerhedsekspert i flere virksomheder, inklusive en af ​​Amazons entreprenører. En anden oplevelse: Jeg har undervisning på universitetene i Arden og Reading.

Efterlad et Svar

Dette websted bruger Akismet at reducere spam. Lær hvordan din kommentar data behandles.

Tilbage til toppen knap