Malware AbstractEmu na Androida „rootuje” smartfony i unika wykrycia

Helga Smithpaździernik 31, 2021Ostatnio zaktualizowany: październik 31, 2021

101 1 minuta przeczytania

Naukowcy z Lookout Threat Labs odkrył nowe złośliwe oprogramowanie na Androida o nazwie AbstractEmu, które „rootują” zainfekowane urządzenia, co w ostatnich latach stało się dość rzadką praktyką w przypadku takiego złośliwego oprogramowania.

StreszczenieEmu przyszedł w pakiecie z 19 aplikacje dystrybuowane przez Google Sklepy z aplikacjami Play i innych firm (łącznie z Amazonka Sklep z aplikacjami, Samsung Sklep Galaxy, Aptoide, i 1).

To ważne odkrycie, ponieważ zakorzenione złośliwe oprogramowanie stało się rzadkością w ciągu ostatnich pięciu lat. Używając „rootowania” w celu uzyskania uprzywilejowanego dostępu do systemu operacyjnego, atakujący może dyskretnie przyznać sobie niebezpieczne uprawnienia lub zainstalować dodatkowe złośliwe oprogramowanie, chociaż takie kroki zwykle wymagają interakcji użytkownika.eksperci mówią.

Zainfekowane aplikacje to menedżery haseł i różne narzędzia systemowe, w tym narzędzia do zapisywania danych i uruchamiania aplikacji. W tym samym czasie, w celu uniknięcia podejrzeń, wszystkie naprawdę działały i miały deklarowaną funkcjonalność.

Złośliwe aplikacje zostały usunięte ze sklepu Google Play, ale inne sklepy z aplikacjami prawdopodobnie nadal je dystrybuują. Badacze twierdzą, że tylko jedna z zainfekowanych aplikacji, Lite Launcher, miał skończony 10,000 pobiera po usunięciu z Google Play.

AbstractEmu nie ma złożonej funkcjonalności i nie korzysta z funkcji „bez klikania”’ zdalne exploity, które można znaleźć w wyrafinowanych atakach APT. [Złośliwe oprogramowanie] jest po prostu aktywowany przez użytkownika, który otworzył aplikację. Ponieważ złośliwe oprogramowanie jest podszywające się pod działające aplikacje, większość użytkowników prawdopodobnie wejdzie z nim w interakcję wkrótce po pobraniu.naukowcy piszą

Po instalacji AbstractEmu zaczyna zbierać i wysyłać różne informacje o systemie do swojego serwera kontrolno-zarządzającego i czeka na kolejne polecenia.

AbstractEmu wysyła informacje o systemie

Po tym, Operatorzy AbstractEmu mogą wydawać złośliwemu oprogramowaniu różne polecenia, na przykład, uzyskać uprawnienia roota, zbieraj i kradnij pliki w zależności od tego, jak nowe są lub pasują do danego wzorca, i zainstaluj nowe aplikacje.

Polecenia AbstractEmu

AbstractEmu ma w swoim arsenale exploity dla kilku znanych luk w zabezpieczeniach, aby uzyskać uprawnienia roota na zainfekowanych urządzeniach. Raport eksperta zauważa, że jeden z błędów, CVE-2020-0041, nigdy wcześniej nie był używany przez aplikacje na Androida.

Złośliwe oprogramowanie wykorzystuje również w atakach publicznie dostępne exploity w celu rozwiązywania problemów CVE-2019-2215 i CVE-2020-0041, i podatność CVE-2020-0069, znalezione w MediaTek frytki, szeroko stosowany przez dziesiątki producentów smartfonów i zainstalowany na milionach urządzeń.

Po zrootowaniu urządzenia, AbstractEmu może śledzić powiadomienia, robić zrzuty ekranu i nagrywać wideo z ekranu, a nawet zablokować urządzenie lub zresetować jego hasło.

Badacze twierdzą, że nie byli jeszcze w stanie określić, jakiego rodzaju złośliwą aktywność będzie wykonywać złośliwe oprogramowanie po instalacji, ale sądząc po otrzymanych uprawnieniach, można założyć, że AbstractEmu wykazuje podobieństwa do trojanów bankowych i oprogramowania szpiegującego (Jak na przykład Anatsza, Sęp i Mandragora).

Przypomnę, że my też to napisaliśmy Złośliwe oprogramowanie na Androida GriftKoń zainfekowany przez 10 miliony urządzeń.

Tagi

Helga Smithpaździernik 31, 2021Ostatnio zaktualizowany: październik 31, 2021

101 1 minuta przeczytania

Malware AbstractEmu na Androida „rootuje” smartfony i unika wykrycia

Naukowcy z Lookout Threat Labs odkrył nowe złośliwe oprogramowanie na Androida o nazwie AbstractEmu, które „rootują” zainfekowane urządzenia, co w ostatnich latach stało się dość rzadką praktyką w przypadku takiego złośliwego oprogramowania.

Helga Smith

Zostaw odpowiedźAnuluj odpowiedź

Usuń wirusa BGZQ Ransomware (+ODSZYFROWAĆ pliki .bgzq)

Usuń wirusa BGJS Ransomware (+ODSZYFROWAĆ pliki .bgjs)

Usuń wirusa KAAA Ransomware (+DECRYPT .file Pliki)

Usuń wirusa UAJS Ransomware (+ODSZYFROWAĆ pliki .uajs)

Usuń wirusa UAZQ Ransomware (+ODSZYFROWAĆ pliki .uazq)

Usuń wirusa VOOK Ransomware (+ODSZYFROWAĆ pliki .vook)

Usuń wirusa LOOY Ransomware (+ODSZYFROWAĆ pliki .looy)

Usuń wirusa KOOL Ransomware (+ODSZYFROWAĆ pliki .kool)

Usuń wirusa NOOD Ransomware (+ODSZYFROWAĆ pliki .nood)

Usuń wirusa WIAW Ransomware (+ODSZYFROWAĆ pliki .wiaw)

Usuń wirusa WISZ Ransomware (+ODSZYFROWAĆ pliki .wisz)

Usuń wirusa LKFR Ransomware (+ODSZYFROWAĆ pliki .lkfr)

Usuń wirusa LKHY Ransomware (+ODSZYFROWAĆ pliki .lkhy)

Usuń wirusa LDHY Ransomware (+ODSZYFROWAĆ pliki .ldhy)

Usuń wirusa KVIP Ransomware (+ODSZYFROWAĆ pliki .kvip)

Naukowcy z Lookout Threat Labs odkrył nowe złośliwe oprogramowanie na Androida o nazwie AbstractEmu, które „rootują” zainfekowane urządzenia, co w ostatnich latach stało się dość rzadką praktyką w przypadku takiego złośliwego oprogramowania.

Helga Smith

Evil Corp wykorzystuje nowe złośliwe oprogramowanie Macaw do ataków ransomware

Ponad zainfekowany różowy botnet 1.5 miliony urządzeń

Zostaw odpowiedźAnuluj odpowiedź

Powiązane artykuły

Nowa wersja ransomware Magniber zagraża systemowi Windows 11 Użytkownicy

Wyłudzanie dobrej woli zmusza ofiary do dobrych uczynków

Rosyjski botnet Fronton może zrobić znacznie więcej niż masowe ataki DDoS

Microsoft ostrzega przed zwiększoną aktywnością złośliwego oprogramowania XorDdos