AbstractEmu Android-malware "roots" smartphones en ontwijkt detectie

Helga Smithoktober 31, 2021Laatst bijgewerkt: oktober 31, 2021

101 1 minuut lezen

Onderzoekers van Lookout Threat Labs hebben ontdekt een nieuwe Android-malware genaamd AbstractEmu, welke "roots" geïnfecteerde apparaten, wat de afgelopen jaren een vrij zeldzame praktijk is geworden voor dergelijke malware.

AbstractEmu kwam gebundeld met 19 apps gedistribueerd via Google Play en app-stores van derden (inclusief Amazone App Winkel, Samsung Galaxy-winkel, Aptoide, en APKPure).

Dit is een belangrijke vondst, aangezien geroote malware de afgelopen vijf jaar een zeldzaamheid is geworden. Door "rooten" te gebruiken om bevoorrechte toegang tot het besturingssysteem te krijgen, een aanvaller kan zichzelf onopvallend gevaarlijke machtigingen verlenen of extra malware installeren, hoewel dergelijke stappen meestal gebruikersinteractie vereisen.de experts zeggen:.

De geïnfecteerde applicaties waren wachtwoordbeheerders en verschillende systeemtools, inclusief tools voor het opslaan van gegevens en het starten van applicaties. Tegelijkertijd, om verdenking te voorkomen, ze werkten allemaal echt en hadden de gedeclareerde functionaliteit.

De kwaadaardige apps zijn nu verwijderd uit de Google Play Store, maar andere app-winkels distribueren ze waarschijnlijk nog steeds. Onderzoekers zeggen dat slechts één van de geïnfecteerde applicaties, Lite-opstartprogramma, had voorbij 10,000 downloads toen het werd verwijderd van Google Play.

AbstractEmu heeft geen complexe functionaliteit en maakt geen gebruik van de 'klikloze'’ externe exploits die worden aangetroffen in geavanceerde APT-aanvallen. [malware] wordt eenvoudig geactiveerd door de gebruiker die de applicatie heeft geopend. Omdat de malware is vermomd als actieve applicaties, de meeste gebruikers zullen er waarschijnlijk kort na het downloaden mee werken.de onderzoekers schrijven

Na installatie begint AbstractEmu met het verzamelen en verzenden van verschillende systeeminformatie naar de commando- en controleserver en wacht op verdere commando's.

AbstractEmu verzendt systeeminformatie

Daarna, AbstractEmu-operators kunnen de malware verschillende opdrachten geven, bijvoorbeeld, root-rechten krijgen, verzamel en steel bestanden afhankelijk van hoe nieuw ze zijn of passen bij een bepaald patroon, en installeer nieuwe applicaties.

AbstractEmu-opdrachten

AbstractEmu heeft exploits voor verschillende bekende kwetsbaarheden in zijn arsenaal om rootrechten op geïnfecteerde apparaten te verkrijgen. Een deskundigenrapport merkt op dat een van de bugs, CVE-2020-0041, is nog nooit eerder door Android-apps gebruikt.

De malware gebruikt bij aanvallen ook openbaar beschikbare exploits voor problemen CVE-2019-2215 en CVE-2020-0041, en kwetsbaarheid CVE-2020-0069, gevonden in MediaTek chips, op grote schaal gebruikt door tientallen smartphonefabrikanten en geïnstalleerd op miljoenen apparaten.

Na het rooten van het apparaat, AbstractEmu kan meldingen volgen, maak screenshots en neem video op van het scherm, of zelfs het apparaat blokkeren of het wachtwoord opnieuw instellen.

De onderzoekers zeggen dat ze nog niet hebben kunnen bepalen wat voor soort kwaadaardige activiteit de malware zal uitvoeren na installatie, maar te oordelen naar de ontvangen toestemmingen, het kan worden aangenomen dat AbstractEmu overeenkomsten heeft met banktrojans en spyware (zoals Anatsa, Gier en Mandrake).

Laat me je eraan herinneren dat we dat ook schreven Android-malware GriftPaard besmet over 10 miljoen apparaten.

AbstractEmu Android-malware "roots" smartphones en ontwijkt detectie

Onderzoekers van Lookout Threat Labs hebben ontdekt een nieuwe Android-malware genaamd AbstractEmu, welke "roots" geïnfecteerde apparaten, wat de afgelopen jaren een vrij zeldzame praktijk is geworden voor dergelijke malware.

Helga Smith

Laat een antwoord achterannuleer antwoord

Verwijder het BGZQ Ransomware-virus (+DECRYPT .bgzq-bestanden)

Verwijder het BGJS Ransomware-virus (+DECRYPT .bgjs-bestanden)

Verwijder het KAAA Ransomware-virus (+DECRYPT .file-bestanden)

Verwijder het UAJS Ransomware-virus (+DECRYPT .uajs-bestanden)

Verwijder het UAZQ Ransomware-virus (+DECRYPT .uazq-bestanden)

Verwijder het VOOK Ransomware-virus (+DECRYPT .vook-bestanden)

Verwijder het LOOY Ransomware-virus (+DECRYPT .looy-bestanden)

Verwijder het KOOL Ransomware-virus (+DECRYPT .kool-bestanden)

Verwijder het NOOD Ransomware-virus (+DECRYPT .nood-bestanden)

Verwijder het WIAW Ransomware-virus (+DECRYPT .wiaw-bestanden)

Verwijder het WISZ Ransomware-virus (+DECRYPT .wisz-bestanden)

Verwijder het LKFR Ransomware-virus (+DECRYPT .lkfr-bestanden)

Verwijder het LKHY Ransomware-virus (+DECRYPT .lkhy-bestanden)

Verwijder het LDHY Ransomware-virus (+DECRYPT .ldhy-bestanden)

Verwijder het KVIP Ransomware-virus (+DECRYPT .kvip-bestanden)

Onderzoekers van Lookout Threat Labs hebben ontdekt een nieuwe Android-malware genaamd AbstractEmu, welke "roots" geïnfecteerde apparaten, wat de afgelopen jaren een vrij zeldzame praktijk is geworden voor dergelijke malware.

Helga Smith

Evil Corp gebruikt nieuwe Macaw-malware voor ransomware-aanvallen

Roze botnet besmet over 1.5 miljoen apparaten

Laat een antwoord achterannuleer antwoord

gerelateerde artikelen

Nieuwe versie van Magniber Ransomware bedreigt Windows 11 Gebruikers

Goodwill-afperser dwingt slachtoffers tot goede daden

Russisch Fronton-botnet kan veel meer doen dan massale DDoS-aanvallen

Microsoft waarschuwt voor verhoogde XorDdos-malwareactiviteit