RésuméLe malware Android Emu « enracine » les smartphones et échappe à la détection

Helga Smithoctobre 31, 2021Dernière mise à jour: octobre 31, 2021
101 Temps de lecture 1 minute

Chercheurs de Lookout Threat Labs a découvert un nouveau malware Android appelé AbstractEmu, qui « racine » les appareils infectés, ce qui est devenu une pratique plutôt rare pour de tels logiciels malveillants ces dernières années.

RésuméEmu est venu livré avec 19 applications distribuées via Google Play et magasins d'applications tiers (comprenant Amazone Magasin d'applications, Samsung Boutique Galaxy, Aptoide, et APKPure).

Il s'agit d'une découverte importante car les logiciels malveillants enracinés sont devenus une rareté au cours des cinq dernières années.. En utilisant le « rooting » pour obtenir un accès privilégié au système d'exploitation, un attaquant peut s'octroyer discrètement des autorisations dangereuses ou installer des malwares supplémentaires, bien que de telles étapes nécessitent généralement une interaction de l'utilisateur.les experts disent.

Les applications infectées étaient des gestionnaires de mots de passe et divers outils système, y compris des outils pour enregistrer des données et lancer des applications. En même temps, afin d'éviter les soupçons, ils ont tous vraiment fonctionné et avaient la fonctionnalité déclarée.

Les applications malveillantes ont maintenant été supprimées du Google Play Store, mais d'autres magasins d'applications les distribuent probablement encore. Les chercheurs disent qu'une seule des applications infectées, Lanceur Lite, avait plus 10,000 téléchargements lorsqu'il a été supprimé de Google Play.

AbstractEmu n'a pas de fonctionnalités complexes et n'utilise pas le’ exploits à distance trouvés dans les attaques APT sophistiquées. [Malware] est simplement activé par l'utilisateur qui a ouvert l'application. Étant donné que le malware est déguisé en applications en cours d'exécution, la plupart des utilisateurs sont susceptibles d'interagir avec lui peu de temps après le téléchargement.les chercheurs écrivent

Après l'installation, AbstractEmu commence à collecter et à envoyer diverses informations système à son serveur de commande et de contrôle et attend d'autres commandes.

AbstractEmu envoyant des informations sur le système

Après ça, Les opérateurs AbstractEmu peuvent donner au malware diverses commandes, par example, obtenir les privilèges root, collecter et voler des fichiers en fonction de leur nouveauté ou de leur correspondance avec un modèle donné, et installer de nouvelles applications.

Commandes AbstractEmu

AbstractEmu a des exploits pour plusieurs vulnérabilités connues dans son arsenal pour obtenir des privilèges root sur les appareils infectés. Un rapport d'expert note que l'un des bugs, CVE-2020-0041, n'a jamais été utilisé par les applications Android auparavant.

Le malware utilise également dans les attaques des exploits accessibles au public pour les problèmes CVE-2019-2215 et CVE-2020-0041, et la vulnérabilité CVE-2020-0069, trouvé dans MediaTek frites, largement utilisé par des dizaines de fabricants de smartphones et installé sur des millions d'appareils.

Après avoir rooté l'appareil, AbstractEmu peut suivre les notifications, prendre des captures d'écran et enregistrer une vidéo de l'écran, ou même bloquer l'appareil ou réinitialiser son mot de passe.

Les chercheurs disent qu'ils n'ont pas encore été en mesure de déterminer quel type d'activité malveillante le malware effectuera après l'installation, mais à en juger par les autorisations reçues, on peut supposer que AbstractEmu a des similitudes avec les chevaux de Troie bancaires et les logiciels espions (tel que Anatsa, Vautour et Mandragore).

Permettez-moi de vous rappeler que nous avons également écrit que Malware Android GriftHorse infecté sur 10 millions d'appareils.

Mots clés
Helga Smithoctobre 31, 2021Dernière mise à jour: octobre 31, 2021
101 Temps de lecture 1 minute

Helga Smith

J'ai toujours été intéressé par l'informatique, en particulier la sécurité des données et le thème, qui s'appelle de nos jours "science des données", depuis mon adolescence. Avant de rejoindre l'équipe de suppression de virus en tant que rédacteur en chef, J'ai travaillé comme expert en cybersécurité dans plusieurs entreprises, dont l'un des sous-traitants d'Amazon. Une autre expérience: J'ai enseigné dans les universités d'Arden et de Reading.

Laisser un commentaire

Ce site utilise Akismet pour réduire le spam. Découvrez comment vos données de commentaire est traité.

Bouton retour en haut de la page