AbstractEmu Android-haittaohjelma "juuri" älypuhelimet ja välttää havaitsemisen

Lookout Threat Labsin tutkijat ovat löytäneet uusi Android-haittaohjelma nimeltä AbstractEmu, joka "juuri" tartunnan saaneet laitteet, josta on tullut melko harvinainen käytäntö tällaisille haittaohjelmille viime vuosina.

AbstraktiEmu tuli mukana 19 kautta jaettavat sovellukset Google Play ja kolmannen osapuolen sovelluskaupat (mukaan lukien Amazon Sovelluskauppa, Samsung Galaxy Store, Aptoide, ja APKPure).

Tämä on tärkeä löytö, sillä juurtuneista haittaohjelmista on tullut harvinaisuus viimeisen viiden vuoden aikana. Käyttämällä "roottelua" saadaksesi etuoikeutetun pääsyn käyttöjärjestelmään, Hyökkääjä voi myöntää itselleen vaarallisia käyttöoikeuksia tai asentaa lisää haittaohjelmia huomaamattomasti, vaikka tällaiset vaiheet vaativat yleensä käyttäjän toimia.asiantuntijat sanovat.

Tartunnan saaneet sovellukset olivat salasanojen hallintaohjelmia ja erilaisia ​​järjestelmätyökaluja, mukaan lukien työkalut tietojen tallentamiseen ja sovellusten käynnistämiseen. Samaan aikaan, epäilyksen välttämiseksi, ne kaikki todella toimivat ja niillä oli ilmoitettu toiminnallisuus.

Haitalliset sovellukset on nyt poistettu Google Play Kaupasta, mutta muut sovelluskaupat todennäköisesti edelleen jakavat niitä. Tutkijat sanovat, että vain yksi tartunnan saaneita sovelluksia, Lite Launcher, oli ohi 10,000 latauksia, kun se poistettiin Google Playsta.

AbstractEmulla ei ole monimutkaisia ​​toimintoja, eikä se käytä napsautusvapaata’ kehittyneissä APT-hyökkäyksissä esiintyviä etähyökkäyksiä. [haittaohjelmat] sovelluksen avannut käyttäjä aktivoi sen. Koska haittaohjelma on naamioitu käynnissä oleviksi sovelluksiksi, useimmat käyttäjät ovat todennäköisesti vuorovaikutuksessa sen kanssa pian lataamisen jälkeen.tutkijat kirjoittavat

Asennuksen jälkeen AbstractEmu alkaa kerätä ja lähettää erilaisia ​​järjestelmätietoja komento- ja ohjauspalvelimelleen ja odottaa lisäkomentoja.

AbstractEmu lähettää järjestelmätietoja

Sen jälkeen, AbstractEmu-operaattorit voivat antaa haittaohjelmille erilaisia ​​komentoja, esimerkiksi, saada pääkäyttäjän oikeudet, kerätä ja varastaa tiedostoja sen mukaan, kuinka uusia ne ovat tai vastaavat tiettyä mallia, ja asenna uusia sovelluksia.

AbstractEmu-komennot

AbstractEmu on hyödyntänyt useita tunnettuja haavoittuvuuksia arsenaalissaan saadakseen pääkäyttäjän oikeudet tartunnan saaneille laitteille. Asiantuntijaraportissa todetaan, että yksi vioista, CVE-2020-0041, Android-sovellukset eivät ole koskaan käyttäneet sitä.

Haittaohjelma käyttää hyökkäyksissä myös julkisesti saatavilla olevia ongelmien hyväksikäyttöä CVE-2019-2215 ja CVE-2020-0041, ja haavoittuvuus CVE-2020-0069, löydetty sisään MediaTek sirut, Sitä käyttävät laajasti kymmenet älypuhelinvalmistajat ja ne on asennettu miljooniin laitteisiin.

Laitteen rootauksen jälkeen, AbstractEmu voi seurata ilmoituksia, ottaa kuvakaappauksia ja tallentaa videota näytöstä, tai jopa estää laitteen tai nollata sen salasanan.

Tutkijat sanovat, että he eivät ole vielä pystyneet määrittämään, millaista haitallista toimintaa haittaohjelma suorittaa asennuksen jälkeen, mutta saatujen lupien perusteella päätellen, voidaan olettaa, että AbstractEmulla on yhtäläisyyksiä pankkitroijalaisten ja vakoiluohjelmien kanssa (kuten Anatsa, Korppikotka ja Mandrake).

Muistutan, että kirjoitimme myös sen Android-haittaohjelma GriftHorse tartunnan saanut 10 miljoonaa laitetta.

Helga Smith

Olin aina kiinnostunut tietojenkäsittelytieteistä, erityisesti tietoturva ja teema, jota kutsutaan nykyään "datatiede", jo varhaisesta teini-ikäisestäni. Ennen tulemista viruksenpoistotiimiin päätoimittajana, Olen työskennellyt kyberturvallisuuden asiantuntijana useissa yrityksissä, mukaan lukien yksi Amazonin urakoitsijoista. Toinen kokemus: Olen opettanut Ardenin ja Readingin yliopistoissa.

Jätä vastaus

Tämä sivusto käyttää Akismet roskapostin vähentämiseksi. Opi kommenttisi tietoja käsitellään.

Takaisin alkuun-painike