มัลแวร์ Android AbstractEmu “รูท” สมาร์ทโฟนและหลบเลี่ยงการตรวจจับ

Researchers at Lookout Threat Labs ได้ค้นพบแล้ว a new Android malware called AbstractEmu, which “roots” infected devices, which has become a rather rare practice for such malware in recent years.

บทคัดย่อนกอีมู came bundled with 19 apps distributed through Google Play and third-party app stores (รวมทั้ง Amazon Appstore, Samsung Galaxy Store, Aptoide, and APKPure).

This is an important find as rooted malware has become a rarity over the past five years. By using “rooting” to gain privileged access to the operating system, an attacker can discreetly grant himself dangerous permissions or install additional malware, although such steps usually require user interaction.the experts say.

The infected applications were password managers and various system tools, including tools for saving data and launching applications. ในเวลาเดียวกัน, in order to avoid suspicion, they all really worked and had the declared functionality.

The malicious apps have now been removed from the Google Play Store, but other app stores are probably still distributing them. Researchers say that only one of the infected applications, Lite Launcher, had over 10,000 downloads when it was removed from Google Play.

AbstractEmu does not have complex functionality and does not use the ‘clicklessremote exploits that are found in sophisticated APT attacks. [มัลแวร์] is simply activated by the user who opened the application. Since the malware is disguised as running applications, most users are likely to interact with it shortly after downloading.นักวิจัยเขียน

After installation AbstractEmu starts collecting and sending various system information to its command and control server and waits for further commands.

AbstractEmu sending system information

หลังจากนั้น, AbstractEmu operators can give the malware various commands, ตัวอย่างเช่น, get root privileges, collect and steal files depending on how new they are or match a given pattern, and install new applications.

AbstractEmu commands

AbstractEmu has exploits for several known vulnerabilities in its arsenal to gain root privileges on infected devices. An expert report notes that one of the bugs, CVE-2020-0041, has never been used by Android apps before.

The malware also uses in attacks publicly available exploits for problems CVE-2019-2215 และ CVE-2020-0041, and vulnerability CVE-2020-0069, found in MediaTek chips, widely used by dozens of smartphone manufacturers and installed on millions of devices.

After rooting the device, AbstractEmu can track notifications, take screenshots and record video of the screen, or even block the device or reset its password.

The researchers say that they have not yet been able to determine what kind of malicious activity the malware will perform after installation, but judging by the permissions received, it can be assumed that AbstractEmu has similarities with banking Trojans and spyware (such as เขาเปิดมัน, Vultur และ Mandrake).

ฉันขอเตือนคุณว่าเราเขียนอย่างนั้นเช่นกัน Android malware GriftHorse infected over 10 ล้านอุปกรณ์.

เฮลก้า สมิธ

ฉันสนใจวิทยาการคอมพิวเตอร์มาโดยตลอด, โดยเฉพาะความปลอดภัยของข้อมูลและธีม, ซึ่งเรียกกันในปัจจุบันว่า "วิทยาศาสตร์ข้อมูล", ตั้งแต่วัยรุ่นตอนต้นของฉัน. ก่อนจะมาอยู่ในทีมกำจัดไวรัสในตำแหน่งหัวหน้าบรรณาธิการ, ฉันทำงานเป็นผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ในหลายบริษัท, รวมถึงหนึ่งในผู้รับเหมาของ Amazon. ประสบการณ์อื่น: ฉันได้สอนในมหาวิทยาลัยอาร์เดนและรีดดิ้ง.

ทิ้งคำตอบไว้

เว็บไซต์นี้ใช้ Akismet เพื่อลดสแปม. เรียนรู้วิธีประมวลผลข้อมูลความคิดเห็นของคุณ.

ปุ่มกลับไปด้านบน