AbstractEmu Android-haittaohjelma "juuri" älypuhelimet ja välttää havaitsemisen

Helga Smithlokakuu 31, 2021Viimeksi päivitetty: lokakuu 31, 2021

101 1 minuutti luettu

Lookout Threat Labsin tutkijat ovat löytäneet uusi Android-haittaohjelma nimeltä AbstractEmu, joka "juuri" tartunnan saaneet laitteet, josta on tullut melko harvinainen käytäntö tällaisille haittaohjelmille viime vuosina.

AbstraktiEmu tuli mukana 19 kautta jaettavat sovellukset Google Play ja kolmannen osapuolen sovelluskaupat (mukaan lukien Amazon Sovelluskauppa, Samsung Galaxy Store, Aptoide, ja APKPure).

Tämä on tärkeä löytö, sillä juurtuneista haittaohjelmista on tullut harvinaisuus viimeisen viiden vuoden aikana. Käyttämällä "roottelua" saadaksesi etuoikeutetun pääsyn käyttöjärjestelmään, Hyökkääjä voi myöntää itselleen vaarallisia käyttöoikeuksia tai asentaa lisää haittaohjelmia huomaamattomasti, vaikka tällaiset vaiheet vaativat yleensä käyttäjän toimia.asiantuntijat sanovat.

Tartunnan saaneet sovellukset olivat salasanojen hallintaohjelmia ja erilaisia järjestelmätyökaluja, mukaan lukien työkalut tietojen tallentamiseen ja sovellusten käynnistämiseen. Samaan aikaan, epäilyksen välttämiseksi, ne kaikki todella toimivat ja niillä oli ilmoitettu toiminnallisuus.

Haitalliset sovellukset on nyt poistettu Google Play Kaupasta, mutta muut sovelluskaupat todennäköisesti edelleen jakavat niitä. Tutkijat sanovat, että vain yksi tartunnan saaneita sovelluksia, Lite Launcher, oli ohi 10,000 latauksia, kun se poistettiin Google Playsta.

AbstractEmulla ei ole monimutkaisia toimintoja, eikä se käytä napsautusvapaata’ kehittyneissä APT-hyökkäyksissä esiintyviä etähyökkäyksiä. [haittaohjelmat] sovelluksen avannut käyttäjä aktivoi sen. Koska haittaohjelma on naamioitu käynnissä oleviksi sovelluksiksi, useimmat käyttäjät ovat todennäköisesti vuorovaikutuksessa sen kanssa pian lataamisen jälkeen.tutkijat kirjoittavat

Asennuksen jälkeen AbstractEmu alkaa kerätä ja lähettää erilaisia järjestelmätietoja komento- ja ohjauspalvelimelleen ja odottaa lisäkomentoja.

AbstractEmu lähettää järjestelmätietoja

Sen jälkeen, AbstractEmu-operaattorit voivat antaa haittaohjelmille erilaisia komentoja, esimerkiksi, saada pääkäyttäjän oikeudet, kerätä ja varastaa tiedostoja sen mukaan, kuinka uusia ne ovat tai vastaavat tiettyä mallia, ja asenna uusia sovelluksia.

AbstractEmu-komennot

AbstractEmu on hyödyntänyt useita tunnettuja haavoittuvuuksia arsenaalissaan saadakseen pääkäyttäjän oikeudet tartunnan saaneille laitteille. Asiantuntijaraportissa todetaan, että yksi vioista, CVE-2020-0041, Android-sovellukset eivät ole koskaan käyttäneet sitä.

Haittaohjelma käyttää hyökkäyksissä myös julkisesti saatavilla olevia ongelmien hyväksikäyttöä CVE-2019-2215 ja CVE-2020-0041, ja haavoittuvuus CVE-2020-0069, löydetty sisään MediaTek sirut, Sitä käyttävät laajasti kymmenet älypuhelinvalmistajat ja ne on asennettu miljooniin laitteisiin.

Laitteen rootauksen jälkeen, AbstractEmu voi seurata ilmoituksia, ottaa kuvakaappauksia ja tallentaa videota näytöstä, tai jopa estää laitteen tai nollata sen salasanan.

Tutkijat sanovat, että he eivät ole vielä pystyneet määrittämään, millaista haitallista toimintaa haittaohjelma suorittaa asennuksen jälkeen, mutta saatujen lupien perusteella päätellen, voidaan olettaa, että AbstractEmulla on yhtäläisyyksiä pankkitroijalaisten ja vakoiluohjelmien kanssa (kuten Anatsa, Korppikotka ja Mandrake).

Muistutan, että kirjoitimme myös sen Android-haittaohjelma GriftHorse tartunnan saanut 10 miljoonaa laitetta.

Tunnisteet

Helga Smithlokakuu 31, 2021Viimeksi päivitetty: lokakuu 31, 2021

101 1 minuutti luettu

AbstractEmu Android-haittaohjelma "juuri" älypuhelimet ja välttää havaitsemisen

Lookout Threat Labsin tutkijat ovat löytäneet uusi Android-haittaohjelma nimeltä AbstractEmu, joka "juuri" tartunnan saaneet laitteet, josta on tullut melko harvinainen käytäntö tällaisille haittaohjelmille viime vuosina.

Helga Smith

Jätä vastausPeruuta vastaus

Poista BGZQ Ransomware Virus (+DECRYPT .bgzq-tiedostot)

Poista BGJS Ransomware Virus (+DECRYPT .bgjs -tiedostot)

Poista KAAA Ransomware Virus (+DECRYPT .file -tiedostot)

Poista UAJS Ransomware Virus (+DECRYPT .uajs -tiedostot)

Poista UAZQ Ransomware Virus (+DECRYPT .uazq-tiedostot)

Poista VOOK Ransomware Virus (+DECRYPT .vook -tiedostot)

Poista LOOY Ransomware Virus (+DECRYPT .looy -tiedostot)

Poista KOOL Ransomware Virus (+DECRYPT .kool -tiedostot)

Poista NOOD Ransomware Virus (+DECRYPT .nood -tiedostot)

Poista WIAW Ransomware Virus (+DECRYPT .wiaw-tiedostot)

Poista WISZ Ransomware Virus (+DECRYPT .wisz -tiedostot)

Poista LKFR Ransomware Virus (+DECRYPT .lkfr -tiedostot)

Poista LKHY Ransomware Virus (+DECRYPT .lkhy -tiedostot)

Poista LDHY Ransomware Virus (+DECRYPT .ldhy -tiedostot)

Poista KVIP Ransomware Virus (+DECRYPT .kvip-tiedostot)

Lookout Threat Labsin tutkijat ovat löytäneet uusi Android-haittaohjelma nimeltä AbstractEmu, joka "juuri" tartunnan saaneet laitteet, josta on tullut melko harvinainen käytäntö tällaisille haittaohjelmille viime vuosina.

Helga Smith

Evil Corp käyttää uusia Macaw-haittaohjelmia kiristysohjelmien hyökkäyksiin

Vaaleanpunainen botnet on saanut tartunnan 1.5 miljoonaa laitetta

Jätä vastausPeruuta vastaus

Aiheeseen liittyvät artikkelit

Magniber Ransomwaren uusi versio uhkaa Windowsia 11 Käyttäjät

Hyvän tahdon kiristäjä pakottaa uhrit hyviin tekoihin

Venäläinen Fronton-botnet voi tehdä paljon enemmän kuin massiiviset DDoS-hyökkäykset

Microsoft varoittaa lisääntyneestä XorDdos-haittaohjelmatoiminnasta