AbstractEmu Android malware "røtter" smarttelefoner og unngår oppdagelse

Helga Smithoktober 31, 2021Sist oppdatert: oktober 31, 2021
101 1 minutt lest

Forskere ved Lookout Threat Labs har oppdaget en ny Android malware kalt AbstractEmu, som "røtter" infiserte enheter, som har blitt en ganske sjelden praksis for slik skadevare de siste årene.

Abstrakt Emu fulgte med 19 apper distribuert gjennom Google Play og tredjeparts appbutikker (gjelder også Amazon App Store, Samsung Galaxy Store, Aptoide, og APKPure).

Dette er et viktig funn ettersom rotfestet skadevare har blitt en sjeldenhet de siste fem årene. Ved å bruke "rooting" for å få privilegert tilgang til operativsystemet, en angriper kan diskret gi seg selv farlige tillatelser eller installere ytterligere skadelig programvare, selv om slike trinn vanligvis krever brukerinteraksjon.sier ekspertene.

De infiserte applikasjonene var passordbehandlere og ulike systemverktøy, inkludert verktøy for å lagre data og starte applikasjoner. Samtidig, for å unngå mistanke, alle fungerte virkelig og hadde den deklarerte funksjonaliteten.

De skadelige appene er nå fjernet fra Google Play-butikken, men andre app-butikker distribuerer dem sannsynligvis fortsatt. Forskere sier at bare en av de infiserte applikasjonene, Lite Launcher, hadde over 10,000 nedlastinger da den ble fjernet fra Google Play.

AbstractEmu har ikke kompleks funksjonalitet og bruker ikke «klikkfri».’ eksterne utnyttelser som finnes i sofistikerte APT-angrep. [malware] aktiveres ganske enkelt av brukeren som åpnet applikasjonen. Siden skadelig programvare er forkledd som kjørende applikasjoner, de fleste brukere vil sannsynligvis samhandle med den kort tid etter nedlasting.skriver forskerne

Etter installasjonen begynner AbstractEmu å samle inn og sende diverse systeminformasjon til sin kommando- og kontrollserver og venter på ytterligere kommandoer.

AbstractEmu sender systeminformasjon

Etter det, AbstractEmu-operatører kan gi skadevaren ulike kommandoer, for eksempel, få root-privilegier, samle inn og stjele filer avhengig av hvor nye de er eller samsvarer med et gitt mønster, og installere nye applikasjoner.

AbstractEmu kommandoer

AbstractEmu har utnyttet flere kjente sårbarheter i sitt arsenal for å få root-privilegier på infiserte enheter. En ekspertrapport bemerker at en av feilene, CVE-2020-0041, har aldri vært brukt av Android-apper før.

Skadevaren bruker også i angrep offentlig tilgjengelige utnyttelser for problemer CVE-2019-2215 og CVE-2020-0041, og sårbarhet CVE-2020-0069, funnet i MediaTek sjetonger, mye brukt av dusinvis av smarttelefonprodusenter og installert på millioner av enheter.

Etter å ha rotet enheten, AbstractEmu kan spore varsler, ta skjermbilder og ta opp video av skjermen, eller til og med blokker enheten eller tilbakestill passordet.

Forskerne sier at de ennå ikke har klart å fastslå hva slags ondsinnet aktivitet skadevaren vil utføre etter installasjonen, men etter tillatelsene å dømme, det kan antas at AbstractEmu har likheter med banktrojanere og spionprogrammer (som for eksempel Anatsa, Gribb og Mandrake).

La meg minne deg på at vi også skrev det Android malware GriftHorse infisert over 10 millioner enheter.

Merker
Helga Smithoktober 31, 2021Sist oppdatert: oktober 31, 2021
101 1 minutt lest

Helga Smith

Jeg var alltid interessert i datavitenskap, spesielt datasikkerhet og temaet, som kalles i våre dager "datavitenskap", siden min tidlige tenåring. Før du kommer inn i Virusfjerningsteamet som sjefredaktør, Jeg jobbet som cybersikkerhetsekspert i flere selskaper, inkludert en av Amazons entreprenører. Nok en opplevelse: Jeg har undervisning på universitetene i Arden og Reading.

Legg igjen et svar

Denne siden bruker Akismet å redusere spam. Lær hvordan din kommentar data behandles.

Tilbake til toppen