Το κακόβουλο λογισμικό AbstractEmu Android «ριζώνει» smartphone και αποφεύγει τον εντοπισμό

Helga SmithΟκτώβριος 31, 2021Τελευταία ενημέρωση: Οκτώβριος 31, 2021

101 1 λεπτό διάβασμα

Ερευνητές στο Lookout Threat Labs έχουν ανακαλύψει ένα νέο κακόβουλο λογισμικό Android που ονομάζεται AbstractEmu, που «ριζώνει» μολυσμένες συσκευές, που έχει γίνει μια μάλλον σπάνια πρακτική για τέτοιου είδους κακόβουλο λογισμικό τα τελευταία χρόνια.

AbstractEmu ήρθε σε πακέτο 19 εφαρμογές που διανέμονται μέσω Google Play και καταστήματα εφαρμογών τρίτων (συμπεριλαμβανομένου Αμαζόνα App Store, Samsung Galaxy Store, Aptoide, και APKPure).

Αυτό είναι ένα σημαντικό εύρημα καθώς το rooted malware έχει γίνει σπάνιο τα τελευταία πέντε χρόνια. Χρησιμοποιώντας το "rooting" για να αποκτήσετε προνομιακή πρόσβαση στο λειτουργικό σύστημα, ένας εισβολέας μπορεί να εκχωρήσει διακριτικά στον εαυτό του επικίνδυνα δικαιώματα ή να εγκαταστήσει πρόσθετο κακόβουλο λογισμικό, αν και τέτοια βήματα απαιτούν συνήθως αλληλεπίδραση με τον χρήστη.λένε οι ειδικοί.

Οι μολυσμένες εφαρμογές ήταν διαχειριστές κωδικών πρόσβασης και διάφορα εργαλεία συστήματος, συμπεριλαμβανομένων εργαλείων για την αποθήκευση δεδομένων και την εκκίνηση εφαρμογών. Την ίδια στιγμή, για να αποφύγει τις υποψίες, όλα λειτουργούσαν πραγματικά και είχαν τη δηλωμένη λειτουργικότητα.

Οι κακόβουλες εφαρμογές έχουν πλέον αφαιρεθεί από το Google Play Store, αλλά άλλα καταστήματα εφαρμογών πιθανώς εξακολουθούν να τα διανέμουν. Οι ερευνητές λένε ότι μόνο μία από τις μολυσμένες εφαρμογές, Lite Launcher, είχε τελειώσει 10,000 λήψεις όταν αφαιρέθηκε από το Google Play.

Το AbstractEmu δεν έχει πολύπλοκη λειτουργικότητα και δεν χρησιμοποιεί το «χωρίς κλικ».’ απομακρυσμένα exploits που βρίσκονται σε εξελιγμένες επιθέσεις APT. [Κακόβουλο λογισμικό] απλά ενεργοποιείται από τον χρήστη που άνοιξε την εφαρμογή. Δεδομένου ότι το κακόβουλο λογισμικό είναι μεταμφιεσμένο ως εφαρμογές που εκτελούνται, Οι περισσότεροι χρήστες είναι πιθανό να αλληλεπιδράσουν μαζί του λίγο μετά τη λήψη.γράφουν οι ερευνητές

Μετά την εγκατάσταση, το AbstractEmu αρχίζει να συλλέγει και να στέλνει διάφορες πληροφορίες συστήματος στον διακομιστή εντολών και ελέγχου του και περιμένει για περαιτέρω εντολές.

AbstractEmu αποστολή πληροφοριών συστήματος

Μετά από αυτό, Οι χειριστές AbstractEmu μπορούν να δώσουν στο κακόβουλο λογισμικό διάφορες εντολές, για παράδειγμα, αποκτήστε δικαιώματα root, συλλογή και κλοπή αρχείων ανάλογα με το πόσο νέα είναι ή ταιριάζουν με ένα δεδομένο μοτίβο, και εγκαταστήστε νέες εφαρμογές.

AbstractEmu εντολές

AbstractEmu έχει εκμεταλλεύσεις για πολλά γνωστά τρωτά σημεία στο οπλοστάσιό του για να αποκτήσει δικαιώματα root σε μολυσμένες συσκευές. Μια έκθεση εμπειρογνωμόνων σημειώνει ότι ένα από τα σφάλματα, CVE-2020-0041, δεν έχει χρησιμοποιηθεί ποτέ πριν από εφαρμογές Android.

Το κακόβουλο λογισμικό χρησιμοποιεί επίσης σε επιθέσεις δημόσια διαθέσιμα εκμεταλλεύσεις για προβλήματα CVE-2019-2215 και CVE-2020-0041, και ευπάθεια CVE-2020-0069, βρέθηκε στο MediaTek πατατάκια, χρησιμοποιείται ευρέως από δεκάδες κατασκευαστές smartphone και έχει εγκατασταθεί σε εκατομμύρια συσκευές.

Μετά το root της συσκευής, Το AbstractEmu μπορεί να παρακολουθεί τις ειδοποιήσεις, λήψη στιγμιότυπων οθόνης και εγγραφή βίντεο της οθόνης, ή ακόμα και να μπλοκάρει τη συσκευή ή να επαναφέρει τον κωδικό πρόσβασής της.

Οι ερευνητές λένε ότι δεν έχουν ακόμη καταφέρει να προσδιορίσουν τι είδους κακόβουλη δραστηριότητα θα εκτελέσει το κακόβουλο λογισμικό μετά την εγκατάσταση, αλλά κρίνοντας από τις άδειες που έλαβε, μπορεί να υποτεθεί ότι το AbstractEmu έχει ομοιότητες με τραπεζικούς Trojans και spyware (όπως Ανάτσα, Ορνιο και Μανδραγόρας).

Επιτρέψτε μου να σας υπενθυμίσω ότι το γράψαμε και αυτό Κακόβουλο λογισμικό Android GriftHorse μολυνθεί πάνω 10 εκατομμύρια συσκευές.

Ετικέτες

Helga SmithΟκτώβριος 31, 2021Τελευταία ενημέρωση: Οκτώβριος 31, 2021

101 1 λεπτό διάβασμα

Το κακόβουλο λογισμικό AbstractEmu Android «ριζώνει» smartphone και αποφεύγει τον εντοπισμό

Helga Smith

Αφήστε μια απάντησηΑκύρωση απάντησης

Remove BGZQ Ransomware Virus (+DECRYPT .bgzq Files)

Remove BGJS Ransomware Virus (+DECRYPT .bgjs Files)

Καταργήστε τον ιό KAAA Ransomware (+DECRYPT .file Αρχεία)

Καταργήστε τον ιό UAJS Ransomware (+ΑΠΟΚΡΥΠΤΩΣΗ Αρχείων .uajs)

Καταργήστε τον ιό UAZQ Ransomware (+DECRYPT Αρχεία .uazq)

Καταργήστε τον ιό VOOK Ransomware (+DECRYPT .vook Αρχεία)

Καταργήστε τον ιό LOOY Ransomware (+ΑΠΟΚΡΥΠΤΩΣΗ Αρχείων .looy)

Καταργήστε τον ιό KOOL Ransomware (+ΑΠΟΚΡΥΠΤΩΣΗ Αρχείων .kool)

Καταργήστε τον ιό NOOD Ransomware (+DECRYPT .nood Αρχεία)

Καταργήστε τον ιό WIAW Ransomware (+DECRYPT Αρχεία .wiaw)

Καταργήστε τον ιό WISZ Ransomware (+DECRYPT Αρχεία .wisz)

Καταργήστε τον ιό LKFR Ransomware (+DECRYPT Αρχεία .lkfr)

Καταργήστε τον ιό LKHY Ransomware (+DECRYPT .lkhy Αρχεία)

Καταργήστε τον ιό LDHY Ransomware (+DECRYPT .ldhy Αρχεία)

Καταργήστε τον ιό KVIP Ransomware (+DECRYPT Αρχεία .kvip)

Helga Smith

Η Evil Corp χρησιμοποιεί νέο κακόβουλο λογισμικό Macaw για επιθέσεις ransomware

Μολύνθηκε το ροζ botnet 1.5 εκατομμύρια συσκευές

Αφήστε μια απάντησηΑκύρωση απάντησης

Σχετικά Άρθρα

Η νέα έκδοση του Magniber Ransomware απειλεί τα Windows 11 Χρήστες

Ο εκβιαστής καλής θέλησης αναγκάζει τα θύματα σε καλές πράξεις

Το Russian Fronton Botnet μπορεί να κάνει πολλά περισσότερα από τις μαζικές επιθέσεις DDoS

Η Microsoft προειδοποιεί για αυξημένη δραστηριότητα κακόβουλου λογισμικού XorDdos