AbstractEmu zlonamerna programska oprema za Android »ukorenini« pametne telefone in se izogne ​​odkrivanju

Helga Smithoktobra 31, 2021Zadnja posodobitev: oktobra 31, 2021
1 minutno branje

Raziskovalci v Lookout Threat Labs so odkrili nova zlonamerna programska oprema za Android, imenovana AbstractEmu, ki »ukorenini« okužene naprave, kar je v zadnjih letih postalo precej redka praksa za takšno zlonamerno programsko opremo.

PovzetekEmu prišel v paketu z 19 aplikacije, ki se distribuirajo prek Google Play in trgovine z aplikacijami drugih proizvajalcev (vključno z Amazon Appstore, Samsung Trgovina Galaxy, Aptoide, in APKPure).

To je pomembna ugotovitev, saj je ukoreninjena zlonamerna programska oprema v zadnjih petih letih postala redkost. Z uporabo »rootiranja« za pridobitev privilegiranega dostopa do operacijskega sistema, napadalec si lahko diskretno dodeli nevarna dovoljenja ali namesti dodatno zlonamerno programsko opremo, čeprav takšni koraki običajno zahtevajo interakcijo uporabnika.pravijo strokovnjaki.

Okužene aplikacije so bile upravitelji gesel in različna sistemska orodja, vključno z orodji za shranjevanje podatkov in zagon aplikacij. Ob istem času, da bi se izognili sumu, vsi so res delovali in imeli deklarirano funkcionalnost.

Zlonamerni programi so zdaj odstranjeni iz trgovine Google Play, vendar jih druge trgovine z aplikacijami verjetno še vedno distribuirajo. Raziskovalci pravijo, da je le ena od okuženih aplikacij, Lite Launcher, imel čez 10,000 prenosov, ko je bil odstranjen iz Googla Play.

AbstractEmu nima zapletene funkcionalnosti in ne uporablja »brez klika«.’ oddaljene podvige, ki jih najdemo v sofisticiranih napadih APT. [Zlonamerna programska oprema] preprosto aktivira uporabnik, ki je odprl aplikacijo. Ker je zlonamerna programska oprema prikrita kot zagnane aplikacije, večina uporabnikov bo z njim verjetno komunicirala kmalu po prenosu.raziskovalci pišejo

Po namestitvi AbstractEmu začne zbirati in pošiljati različne sistemske informacije svojemu ukaznemu in nadzornemu strežniku ter čaka na nadaljnje ukaze.

AbstractEmu pošilja sistemske informacije

Po tem, Operaterji AbstractEmu lahko zlonamerni programski opremi dajo različne ukaze, na primer, pridobi korenske pravice, zbira in krade datoteke glede na to, kako nove so ali se ujemajo z danim vzorcem, in namestite nove aplikacije.

Ukazi AbstractEmu

AbstractEmu ima v svojem arzenalu izkoriščanja več znanih ranljivosti za pridobitev korenskih pravic na okuženih napravah. Strokovno poročilo ugotavlja, da je eden od hroščev, CVE-2020-0041, aplikacije za Android še nikoli niso uporabljale.

Zlonamerna programska oprema pri napadih uporablja tudi javno dostopne podvige za težave CVE-2019-2215 in CVE-2020-0041, in ranljivost CVE-2020-0069, našli v MediaTek čips, široko uporablja na desetine proizvajalcev pametnih telefonov in je nameščen na milijone naprav.

Po ukoreninjenju naprave, AbstractEmu lahko sledi obvestilom, posnemite posnetke zaslona in snemajte video posnetke zaslona, ali celo blokirati napravo ali ponastaviti njeno geslo.

Raziskovalci pravijo, da jim še ni uspelo ugotoviti, kakšno zlonamerno dejavnost bo izvajala zlonamerna programska oprema po namestitvi, a sodeč po prejetih dovoljenjih, lahko domnevamo, da ima AbstractEmu podobnosti z bančnimi trojanci in vohunsko programsko opremo (kot npr Prižgal ga je, Jastreb in Mandrake).

Naj vas spomnim, da smo tudi to pisali zlonamerna programska oprema za Android GriftHorse okuženih nad 10 milijonov naprav.

Oznake
Helga Smithoktobra 31, 2021Zadnja posodobitev: oktobra 31, 2021
1 minutno branje

Helga Smith

Vedno me je zanimalo računalništvo, zlasti varnost podatkov in tema, ki se dandanes imenuje "znanost o podatkih", že od zgodnjih najstniških let. Pred prihodom v ekipo za odstranjevanje virusov kot glavni urednik, Delal sem kot strokovnjak za kibernetsko varnost v več podjetjih, including one of Amazon's contractors. Še ena izkušnja: Poučujem na univerzah Arden in Reading.

Pustite odgovor

Your email address will not be published. Required fields are marked *

To spletno mesto uporablja Akismet za zmanjšanje neželene pošte. Preberite, kako se obdelujejo vaši komentarji.

Gumb Nazaj na vrh