AbstractEmu malware Android “enraíza” smartphones e evita a detecção

Helga SmithOutubro 31, 2021Última Actualização Outubro 31, 2021
101 lido 1 minuto

Pesquisadores do Lookout Threat Labs ter descoberto um novo malware Android chamado AbstractEmu, que “enraíza” os dispositivos infectados, que se tornou uma prática bastante rara para esse tipo de malware nos últimos anos.

AbstractEmu veio junto com 19 aplicativos distribuídos através de Google Play e lojas de aplicativos de terceiros (Incluindo Amazonas Loja de aplicativos, Samsung Galaxy Store, Aptoide, e APKPure).

Esta é uma descoberta importante, pois o malware com root se tornou uma raridade nos últimos cinco anos. Usando “enraizamento” para obter acesso privilegiado ao sistema operacional, um invasor pode conceder a si mesmo permissões perigosas discretamente ou instalar malware adicional, embora essas etapas geralmente exijam interação do usuário.os especialistas dizem.

Os aplicativos infectados eram gerenciadores de senhas e várias ferramentas de sistema, incluindo ferramentas para salvar dados e iniciar aplicativos. Ao mesmo tempo, a fim de evitar suspeitas, todos eles realmente funcionaram e tinham a funcionalidade declarada.

Os aplicativos maliciosos foram removidos da Google Play Store, mas outras lojas de aplicativos provavelmente ainda os estão distribuindo. Os pesquisadores dizem que apenas um dos aplicativos infectados, Lite Launcher, tinha acabado 10,000 downloads quando foi removido do Google Play.

AbstractEmu não tem funcionalidades complexas e não usa o método ‘clickless’ exploits remotos encontrados em ataques APT sofisticados. [Malware] é simplesmente ativado pelo usuário que abriu o aplicativo. Uma vez que o malware está disfarçado de aplicativos em execução, a maioria dos usuários provavelmente interagirá com ele logo após o download.os pesquisadores escrevem

Após a instalação, o AbstractEmu começa a coletar e enviar várias informações do sistema para seu servidor de comando e controle e aguarda outros comandos.

AbstractEmu enviando informações do sistema

Depois disso, Os operadores AbstractEmu podem dar ao malware vários comandos, por exemplo, obter privilégios de root, coletar e roubar arquivos dependendo de quão novos eles são ou correspondem a um determinado padrão, e instalar novos aplicativos.

Comandos AbstractEmu

AbstractEmu possui exploits para várias vulnerabilidades conhecidas em seu arsenal para obter privilégios de root em dispositivos infectados. Um relatório de especialista observa que um dos bugs, CVE-2020-0041, nunca foi usado por aplicativos Android antes.

O malware também usa em ataques, exploits publicamente disponíveis para problemas CVE-2019-2215 e CVE-2020-0041, e vulnerabilidade CVE-2020-0069, encontrado em MediaTek salgadinhos, amplamente utilizado por dezenas de fabricantes de smartphones e instalado em milhões de dispositivos.

Depois de fazer o root no dispositivo, AbstractEmu pode rastrear notificações, faça capturas de tela e grave o vídeo da tela, ou até mesmo bloquear o dispositivo ou redefinir sua senha.

Os pesquisadores afirmam que ainda não foram capazes de determinar que tipo de atividade maliciosa o malware executará após a instalação, mas a julgar pelas permissões recebidas, pode-se presumir que AbstractEmu tem semelhanças com Trojans bancários e spyware (tal como Anatsa, Abutre e Mandrágora).

Deixe-me lembrá-lo de que também escrevemos que Malware Android GriftHorse infectado 10 milhões de dispositivos.

Tag
Helga SmithOutubro 31, 2021Última Actualização Outubro 31, 2021
101 lido 1 minuto

Helga Smith

Sempre me interessei por ciências da computação, especialmente segurança de dados e o tema, que é chamado hoje em dia "ciência de dados", desde minha adolescência. Antes de entrar na equipe de remoção de vírus como editor-chefe, Trabalhei como especialista em segurança cibernética em várias empresas, incluindo um dos contratados da Amazon. Outra experiencia: Eu tenho é professor nas universidades Arden e Reading.

Deixe uma resposta

Este site usa Akismet para reduzir o spam. Saiba como seus dados comentário é processado.

Botão Voltar ao Topo