AbstractEmu Android skadlig kod "rötter" smartphones och undviker upptäckt

Helga Smithoktober 31, 2021Senast uppdaterad: oktober 31, 2021
101 1 läst minut

Forskare vid Lookout Threat Labs har upptäckt en ny skadlig programvara för Android som heter AbstractEmu, som "rotar" infekterade enheter, vilket har blivit en ganska sällsynt praxis för sådan skadlig programvara de senaste åren.

AbstractEmu kom med 19 appar som distribueras via Google Play och appbutiker från tredje part (Inklusive Amazon Appstore, Samsung Galaxy Store, Aptoide, och APKPure).

Detta är ett viktigt fynd eftersom rotad skadlig kod har blivit en sällsynthet under de senaste fem åren. Genom att använda "rooting" för att få privilegierad åtkomst till operativsystemet, en angripare kan diskret ge sig själv farliga behörigheter eller installera ytterligare skadlig programvara, även om sådana steg vanligtvis kräver användarinteraktion.säger experterna.

De infekterade applikationerna var lösenordshanterare och olika systemverktyg, inklusive verktyg för att spara data och starta applikationer. På samma gång, för att undvika misstankar, alla fungerade verkligen och hade den deklarerade funktionen.

De skadliga apparna har nu tagits bort från Google Play Butik, men andra appbutiker distribuerar dem förmodligen fortfarande. Forskare säger att endast en av de infekterade applikationerna, Lite Launcher, hade över 10,000 nedladdningar när den togs bort från Google Play.

AbstractEmu har inte komplex funktionalitet och använder inte den "klickfria’ fjärranvändningar som finns i sofistikerade APT-attacker. [malware] aktiveras helt enkelt av användaren som öppnade applikationen. Eftersom skadlig programvara är förklädd till att köra applikationer, de flesta användare kommer sannolikt att interagera med det kort efter nedladdning.skriver forskarna

Efter installationen börjar AbstractEmu samla in och skicka olika systeminformation till sin kommando- och kontrollserver och väntar på ytterligare kommandon.

AbstractEmu skickar systeminformation

Efter det, AbstractEmu-operatörer kan ge skadlig programvara olika kommandon, till exempel, få root-privilegier, samla in och stjäl filer beroende på hur nya de är eller matchar ett givet mönster, och installera nya applikationer.

AbstractEmu kommandon

AbstractEmu har utnyttjat flera kända sårbarheter i sin arsenal för att få root-privilegier på infekterade enheter. En expertrapport konstaterar att en av felen, CVE-2020-0041, har aldrig använts av Android-appar tidigare.

Den skadliga programvaran använder också allmänt tillgängliga utnyttjande av problem i attacker CVE-2019-2215 och CVE-2020-0041, och sårbarhet CVE-2020-0069, hittades i MediaTek pommes frites, används ofta av dussintals smartphonetillverkare och installeras på miljontals enheter.

Efter att ha rotat enheten, AbstractEmu kan spåra meddelanden, ta skärmdumpar och spela in video på skärmen, eller till och med blockera enheten eller återställa dess lösenord.

Forskarna säger att de ännu inte har kunnat avgöra vilken typ av skadlig aktivitet skadlig programvara kommer att utföra efter installationen, men att döma av de tillstånd som erhållits, det kan antas att AbstractEmu har likheter med banktrojaner och spionprogram (Till exempel Anatsa, Gam och Alruna).

Låt mig påminna dig om att vi också skrev det Android skadlig programvara GriftHorse infekterad över 10 miljoner enheter.

Taggar
Helga Smithoktober 31, 2021Senast uppdaterad: oktober 31, 2021
101 1 läst minut

Helga Smith

Jag var alltid intresserad av datavetenskap, särskilt datasäkerhet och temat, som kallas nuförtiden "datavetenskap", sedan mina tidiga tonåringar. Innan du kommer in i Virusborttagningsteamet som chefredaktör, Jag arbetade som cybersäkerhetsexpert i flera företag, inklusive en av Amazons entreprenörer. En annan upplevelse: Jag har undervisning vid universitet i Arden och Reading.

Lämna ett svar

Denna webbplats använder Akismet att minska mängden skräppost. Lär dig hur din kommentar data bearbetas.

Tillbaka till toppen