AbstractEmu Androidマルウェアはスマートフォンを「根絶」し、検出を回避します

Lookout ThreatLabsの研究者 発見した AbstractEmuと呼ばれる新しいAndroidマルウェア, 感染したデバイスを「根絶」するもの, これは、近年、そのようなマルウェアにとってはかなりまれな慣行になっています.

AbstractEmu にバンドルされています 19 を通じて配布されるアプリ グーグル Playおよびサードパーティのアプリストア (含む アマゾン Appstore, サムスン ギャラクシーストア, Aptoide, およびAPKPure).

感染したアプリケーションは、パスワードマネージャーとさまざまなシステムツールでした, データの保存とアプリケーションの起動のためのツールを含む. 同時に, 疑惑を避けるために, それらはすべて実際に機能し、宣言された機能を備えていました.

悪意のあるアプリはGooglePlayストアから削除されました, しかし、他のアプリストアはおそらくまだそれらを配布しています. 研究者は、感染したアプリケーションの1つだけが, ライトランチャー, 終わった 10,000 GooglePlayから削除されたときにダウンロード.

インストール後、AbstractEmuはさまざまなシステム情報の収集とコマンドおよび制御サーバーへの送信を開始し、次のコマンドを待ちます.

その後, AbstractEmuオペレーターは、マルウェアにさまざまなコマンドを与えることができます, 例えば, root権限を取得する, ファイルがどれだけ新しいか、または特定のパターンに一致するかに応じて、ファイルを収集して盗みます, 新しいアプリケーションをインストールします.

AbstractEmuは、感染したデバイスでroot権限を取得するために、その武器庫にいくつかの既知の脆弱性を悪用しています。. 専門家の報告によると、バグの1つは, CVE-2020-0041, これまでAndroidアプリで使用されたことはありません.

マルウェアは、問題に対して公的に利用可能なエクスプロイトを攻撃する際にも使用します CVE-2019-2215 そして CVE-2020-0041, と脆弱性 CVE-2020-0069, で見つかりました MediaTek チップ, 数十のスマートフォンメーカーで広く使用され、数百万のデバイスにインストールされています.

デバイスをroot化した後, AbstractEmuは通知を追跡できます, スクリーンショットを撮り、画面のビデオを録画します, または、デバイスをブロックしたり、パスワードをリセットしたりすることもできます.

私たちもそれを書いたことを思い出させてください Androidマルウェア GriftHorse 感染した 10 百万台のデバイス.