AbstractEmu תוכנה זדונית אנדרואיד "שורשית" סמארטפונים וחומקת מזיהוי
חוקרים ב- Lookout Threat Labs גילה תוכנה זדונית חדשה לאנדרואיד בשם AbstractEmu, אשר "משרש" מכשירים נגועים, מה שהפך לנוהג נדיר למדי עבור תוכנות זדוניות כאלה בשנים האחרונות.
AbstractEmu הגיע ארוז עם 19 אפליקציות המופצות באמצעות גוגל Play וחנויות אפליקציות של צד שלישי (לְרַבּוֹת אֲמָזוֹנָה חנות אפליקציות, סמסונג חנות גלקסי, Aptoide, ו-APKPure).
האפליקציות הנגועות היו מנהלי סיסמאות וכלי מערכת שונים, כולל כלים לשמירת נתונים והפעלת יישומים. באותו הזמן, על מנת למנוע חשד, כולם באמת עבדו והיו להם את הפונקציונליות המוצהרת.
האפליקציות הזדוניות הוסרו כעת מחנות Google Play, אבל חנויות אפליקציות אחרות כנראה עדיין מפיצות אותן. חוקרים אומרים שרק אחד מהיישומים הנגועים, משגר לייט, עבר 10,000 הורדות כאשר הוא הוסר מ-Google Play.
לאחר ההתקנה, AbstractEmu מתחילה לאסוף ולשלוח מידע מערכתי שונים לשרת הפיקוד והבקרה שלה ומחכה לפקודות נוספות.
אחרי כן, מפעילי AbstractEmu יכולים לתת לתוכנה הזדונית פקודות שונות, לדוגמה, לקבל הרשאות שורש, לאסוף ולגנוב קבצים בהתאם לכמה הם חדשים או להתאים לדפוס נתון, ולהתקין אפליקציות חדשות.
AbstractEmu מנצל מספר נקודות תורפה ידועות בארסנל שלה כדי להשיג הרשאות שורש במכשירים נגועים. דוח מומחה מציין שאחד הבאגים, CVE-2020-0041, מעולם לא היה בשימוש על ידי אפליקציות אנדרואיד לפני כן.
התוכנה הזדונית משתמשת בהתקפות גם בניצול זמין לציבור לבעיות CVE-2019-2215 ו CVE-2020-0041, ופגיעות CVE-2020-0069, נמצא ב MediaTek צ'יפס, בשימוש נרחב על ידי עשרות יצרני סמארטפונים ומותקן על מיליוני מכשירים.
לאחר השתרשות המכשיר, AbstractEmu יכול לעקוב אחר הודעות, לצלם צילומי מסך ולהקליט וידאו של המסך, או אפילו לחסום את המכשיר או לאפס את הסיסמה שלו.
הרשה לי להזכיר לך שגם אנחנו כתבנו את זה תוכנה זדונית של אנדרואיד GriftHorse נגוע מעל 10 מיליון מכשירים.
