AbstractEmu Android-Malware „rootet“ Smartphones und entgeht der Erkennung

Forscher bei Lookout Threat Labs entdeckt haben eine neue Android-Malware namens AbstractEmu, welche infizierten Geräte „rootet“, was in den letzten Jahren für solche Malware eher selten geworden ist.

ZusammenfassungEmu kam gebündelt mit 19 Apps verteilt über Google Play- und Drittanbieter-App-Stores (einschließlich Amazonas Appstore, Samsung Galaxy-Shop, Aptoide, und APKPure).

Dies ist ein wichtiger Fund, da verwurzelte Malware in den letzten fünf Jahren zu einer Seltenheit geworden ist. Durch die Verwendung von „Rooting“, um privilegierten Zugriff auf das Betriebssystem zu erhalten, ein Angreifer kann sich unauffällig gefährliche Berechtigungen erteilen oder zusätzliche Schadsoftware installieren, obwohl solche Schritte normalerweise eine Benutzerinteraktion erfordern.sagen die Experten.

Bei den infizierten Anwendungen handelte es sich um Passwortmanager und verschiedene Systemtools, einschließlich Tools zum Speichern von Daten und Starten von Anwendungen. Gleichzeitig, um Verdacht zu vermeiden, sie haben alle wirklich funktioniert und hatten die deklarierte Funktionalität.

Die schädlichen Apps wurden jetzt aus dem Google Play Store entfernt, aber andere App Stores vertreiben sie wahrscheinlich noch. Forscher sagen, dass nur eine der infizierten Anwendungen, Lite-Launcher, hatte über 10,000 Downloads, wenn es aus Google Play entfernt wurde.

AbstractEmu hat keine komplexe Funktionalität und verwendet nicht das „klicklose“’ Remote-Exploits, die in ausgeklügelten APT-Angriffen gefunden werden. [Malware] wird einfach von dem Benutzer aktiviert, der die Anwendung geöffnet hat. Da die Malware als laufende Anwendungen getarnt ist, die meisten Benutzer werden wahrscheinlich kurz nach dem Herunterladen damit interagieren.die Forscher schreiben

Nach der Installation beginnt AbstractEmu mit dem Sammeln und Senden verschiedener Systeminformationen an seinen Command and Control Server und wartet auf weitere Befehle.

AbstractEmu sendet Systeminformationen

Nachdem, AbstractEmu-Betreiber können der Malware verschiedene Befehle erteilen, beispielsweise, Root-Rechte bekommen, Sammeln und stehlen Sie Dateien, je nachdem, wie neu sie sind oder einem bestimmten Muster entsprechen, und neue Anwendungen installieren.

ZusammenfassungEmu-Befehle

AbstractEmu hat Exploits für mehrere bekannte Schwachstellen in seinem Arsenal, um Root-Rechte auf infizierten Geräten zu erlangen. Ein Gutachten stellt fest, dass einer der Fehler, CVE-2020-0041, wurde noch nie von Android-Apps verwendet.

Die Malware nutzt bei Angriffen auch öffentlich verfügbare Exploits für Probleme CVE-2019-2215 und CVE-2020-0041, und Verletzlichkeit CVE-2020-0069, gefunden in MediaTek Chips, von Dutzenden von Smartphone-Herstellern weit verbreitet und auf Millionen von Geräten installiert.

Nach dem Rooten des Geräts, AbstractEmu kann Benachrichtigungen verfolgen, Screenshots machen und Videos vom Bildschirm aufnehmen, oder sogar das Gerät blockieren oder sein Passwort zurücksetzen.

Die Forscher sagen, dass sie noch nicht feststellen konnten, welche bösartigen Aktivitäten die Malware nach der Installation ausführen wird, aber nach den erhaltenen Berechtigungen zu urteilen, Es ist davon auszugehen, dass AbstractEmu Ähnlichkeiten mit Banking-Trojanern und Spyware aufweist (wie zum Beispiel Anatsa, Geier und Alraune).

Lass mich dich daran erinnern, dass wir das auch geschrieben haben Android-Malware GriftPferd infiziert über 10 Millionen Geräte.

Helga Smith

Ich habe mich schon immer für Informatik interessiert, insbesondere Datensicherheit und das Thema, das heißt heute "Datenwissenschaft", seit meiner frühen Jugend. Bevor Sie als Chefredakteur in das Virus Removal Team eintreten, Ich habe als Cybersecurity-Experte in mehreren Unternehmen gearbeitet, einschließlich eines der Vertragspartner von Amazon. Eine andere Erfahrung: Ich habe Lehraufträge an den Universitäten Arden und Reading.

Hinterlasse eine Antwort

Diese Seite nutzt Akismet Spam zu reduzieren. Erfahren Sie, wie Sie Ihren Kommentar Daten verarbeitet.

Schaltfläche "Zurück zum Anfang"