AbstractEmu Android-haittaohjelma "juuri" älypuhelimet ja välttää havaitsemisen
Lookout Threat Labsin tutkijat ovat löytäneet uusi Android-haittaohjelma nimeltä AbstractEmu, joka "juuri" tartunnan saaneet laitteet, josta on tullut melko harvinainen käytäntö tällaisille haittaohjelmille viime vuosina.
AbstraktiEmu tuli mukana 19 kautta jaettavat sovellukset Google Play ja kolmannen osapuolen sovelluskaupat (mukaan lukien Amazon Sovelluskauppa, Samsung Galaxy Store, Aptoide, ja APKPure).
Tartunnan saaneet sovellukset olivat salasanojen hallintaohjelmia ja erilaisia järjestelmätyökaluja, mukaan lukien työkalut tietojen tallentamiseen ja sovellusten käynnistämiseen. Samaan aikaan, epäilyksen välttämiseksi, ne kaikki todella toimivat ja niillä oli ilmoitettu toiminnallisuus.
Haitalliset sovellukset on nyt poistettu Google Play Kaupasta, mutta muut sovelluskaupat todennäköisesti edelleen jakavat niitä. Tutkijat sanovat, että vain yksi tartunnan saaneita sovelluksia, Lite Launcher, oli ohi 10,000 latauksia, kun se poistettiin Google Playsta.
Asennuksen jälkeen AbstractEmu alkaa kerätä ja lähettää erilaisia järjestelmätietoja komento- ja ohjauspalvelimelleen ja odottaa lisäkomentoja.
Sen jälkeen, AbstractEmu-operaattorit voivat antaa haittaohjelmille erilaisia komentoja, esimerkiksi, saada pääkäyttäjän oikeudet, kerätä ja varastaa tiedostoja sen mukaan, kuinka uusia ne ovat tai vastaavat tiettyä mallia, ja asenna uusia sovelluksia.
AbstractEmu on hyödyntänyt useita tunnettuja haavoittuvuuksia arsenaalissaan saadakseen pääkäyttäjän oikeudet tartunnan saaneille laitteille. Asiantuntijaraportissa todetaan, että yksi vioista, CVE-2020-0041, Android-sovellukset eivät ole koskaan käyttäneet sitä.
Haittaohjelma käyttää hyökkäyksissä myös julkisesti saatavilla olevia ongelmien hyväksikäyttöä CVE-2019-2215 ja CVE-2020-0041, ja haavoittuvuus CVE-2020-0069, löydetty sisään MediaTek sirut, Sitä käyttävät laajasti kymmenet älypuhelinvalmistajat ja ne on asennettu miljooniin laitteisiin.
Laitteen rootauksen jälkeen, AbstractEmu voi seurata ilmoituksia, ottaa kuvakaappauksia ja tallentaa videota näytöstä, tai jopa estää laitteen tai nollata sen salasanan.
Muistutan, että kirjoitimme myös sen Android-haittaohjelma GriftHorse tartunnan saanut 10 miljoonaa laitetta.