Malware AbstractEmu na Androida „rootuje” smartfony i unika wykrycia

Helga Smithpaździernik 31, 2021Ostatnio zaktualizowany: październik 31, 2021

101 1 minuta przeczytania

Naukowcy z Lookout Threat Labs odkrył nowe złośliwe oprogramowanie na Androida o nazwie AbstractEmu, które „rootują” zainfekowane urządzenia, co w ostatnich latach stało się dość rzadką praktyką w przypadku takiego złośliwego oprogramowania.

StreszczenieEmu przyszedł w pakiecie z 19 aplikacje dystrybuowane przez Google Sklepy z aplikacjami Play i innych firm (łącznie z Amazonka Sklep z aplikacjami, Samsung Sklep Galaxy, Aptoide, i 1).

To ważne odkrycie, ponieważ zakorzenione złośliwe oprogramowanie stało się rzadkością w ciągu ostatnich pięciu lat. Używając „rootowania” w celu uzyskania uprzywilejowanego dostępu do systemu operacyjnego, atakujący może dyskretnie przyznać sobie niebezpieczne uprawnienia lub zainstalować dodatkowe złośliwe oprogramowanie, chociaż takie kroki zwykle wymagają interakcji użytkownika.eksperci mówią.

Zainfekowane aplikacje to menedżery haseł i różne narzędzia systemowe, w tym narzędzia do zapisywania danych i uruchamiania aplikacji. W tym samym czasie, w celu uniknięcia podejrzeń, wszystkie naprawdę działały i miały deklarowaną funkcjonalność.

Złośliwe aplikacje zostały usunięte ze sklepu Google Play, ale inne sklepy z aplikacjami prawdopodobnie nadal je dystrybuują. Badacze twierdzą, że tylko jedna z zainfekowanych aplikacji, Lite Launcher, miał skończony 10,000 pobiera po usunięciu z Google Play.

AbstractEmu nie ma złożonej funkcjonalności i nie korzysta z funkcji „bez klikania”’ zdalne exploity, które można znaleźć w wyrafinowanych atakach APT. [Złośliwe oprogramowanie] jest po prostu aktywowany przez użytkownika, który otworzył aplikację. Ponieważ złośliwe oprogramowanie jest podszywające się pod działające aplikacje, większość użytkowników prawdopodobnie wejdzie z nim w interakcję wkrótce po pobraniu.naukowcy piszą

Po instalacji AbstractEmu zaczyna zbierać i wysyłać różne informacje o systemie do swojego serwera kontrolno-zarządzającego i czeka na kolejne polecenia.

AbstractEmu wysyła informacje o systemie

Po tym, Operatorzy AbstractEmu mogą wydawać złośliwemu oprogramowaniu różne polecenia, na przykład, uzyskać uprawnienia roota, zbieraj i kradnij pliki w zależności od tego, jak nowe są lub pasują do danego wzorca, i zainstaluj nowe aplikacje.

Polecenia AbstractEmu

AbstractEmu ma w swoim arsenale exploity dla kilku znanych luk w zabezpieczeniach, aby uzyskać uprawnienia roota na zainfekowanych urządzeniach. Raport eksperta zauważa, że jeden z błędów, CVE-2020-0041, nigdy wcześniej nie był używany przez aplikacje na Androida.

Złośliwe oprogramowanie wykorzystuje również w atakach publicznie dostępne exploity w celu rozwiązywania problemów CVE-2019-2215 i CVE-2020-0041, i podatność CVE-2020-0069, znalezione w MediaTek frytki, szeroko stosowany przez dziesiątki producentów smartfonów i zainstalowany na milionach urządzeń.

Po zrootowaniu urządzenia, AbstractEmu może śledzić powiadomienia, robić zrzuty ekranu i nagrywać wideo z ekranu, a nawet zablokować urządzenie lub zresetować jego hasło.

Badacze twierdzą, że nie byli jeszcze w stanie określić, jakiego rodzaju złośliwą aktywność będzie wykonywać złośliwe oprogramowanie po instalacji, ale sądząc po otrzymanych uprawnieniach, można założyć, że AbstractEmu wykazuje podobieństwa do trojanów bankowych i oprogramowania szpiegującego (Jak na przykład Anatsza, Sęp i Mandragora).

Przypomnę, że my też to napisaliśmy Złośliwe oprogramowanie na Androida GriftKoń zainfekowany przez 10 miliony urządzeń.

Tagi

Helga Smithpaździernik 31, 2021Ostatnio zaktualizowany: październik 31, 2021

101 1 minuta przeczytania

Malware AbstractEmu na Androida „rootuje” smartfony i unika wykrycia

Naukowcy z Lookout Threat Labs odkrył nowe złośliwe oprogramowanie na Androida o nazwie AbstractEmu, które „rootują” zainfekowane urządzenia, co w ostatnich latach stało się dość rzadką praktyką w przypadku takiego złośliwego oprogramowania.

Helga Smith

Zostaw odpowiedźAnuluj odpowiedź

Sprawdź instrukcje usuwania wyskakujących okienek-tl-ver-78-1.com

Usuń wirusa QUAL Ransomware (+DECRYPT plików .qual)

Sprawdź instrukcje usuwania wirusa tl-ver-176-3.com

Usuń wirusa WATZ Ransomware (+ODSZYFROWAĆ pliki .watz)

Usuń wirusa WAQA Ransomware (+ODSZYFROWAĆ pliki .waqa)

Usuń wirusa PAAA Ransomware (+ODSZYFROWAĆ pliki .paaa)

Usuń wirusa VEPI Ransomware (+ODSZYFROWAĆ pliki .vepi)

Usuń wirusa VEHU Ransomware (+ODSZYFROWAĆ pliki .vehu)

Usuń wirusa VEZA Ransomware (+ODSZYFROWAĆ pliki .veza)

Usuń wirusa QEZA Ransomware (+ODSZYFROWAĆ pliki .qeza)

Usuń wirusa QEHU Ransomware (+ODSZYFROWAĆ pliki .qehu)

Usuń wirusa CEPI Ransomware (+ODSZYFROWAĆ pliki .qepi)

Usuń wirusa BAAA Ransomware (+ODSZYFROWAĆ pliki .baaa)

Usuń wirusa BGZQ Ransomware (+ODSZYFROWAĆ pliki .bgzq)

Usuń wirusa BGJS Ransomware (+ODSZYFROWAĆ pliki .bgjs)

Naukowcy z Lookout Threat Labs odkrył nowe złośliwe oprogramowanie na Androida o nazwie AbstractEmu, które „rootują” zainfekowane urządzenia, co w ostatnich latach stało się dość rzadką praktyką w przypadku takiego złośliwego oprogramowania.

Helga Smith

Evil Corp wykorzystuje nowe złośliwe oprogramowanie Macaw do ataków ransomware

Ponad zainfekowany różowy botnet 1.5 miliony urządzeń

Zostaw odpowiedźAnuluj odpowiedź

Powiązane artykuły

Nowa wersja ransomware Magniber zagraża systemowi Windows 11 Użytkownicy

Wyłudzanie dobrej woli zmusza ofiary do dobrych uczynków

Rosyjski botnet Fronton może zrobić znacznie więcej niż masowe ataki DDoS

Microsoft ostrzega przed zwiększoną aktywnością złośliwego oprogramowania XorDdos