AbstractEmu Android 惡意軟件“植根”智能手機並逃避檢測

Lookout 威脅實驗室的研究人員 發現了 一種名為 AbstractEmu 的新型 Android 惡意軟件, 哪些“根”受感染的設備, 近年來,這已成為此類惡意軟件的一種相當罕見的做法.

抽象鴯鶓 捆綁在一起 19 通過分發的應用程序 谷歌 Play 和第三方應用商店 (包含 亞馬遜 應用商店, 三星 銀河店, 阿普托德, 和 APKPure).

這是一個重要的發現,因為根惡意軟件在過去五年中已變得罕見. 通過使用“root”來獲得對操作系統的特權訪問, 攻擊者可以謹慎地授予自己危險的權限或安裝其他惡意軟件, 儘管這些步驟通常需要用戶交互.專家說.

受感染的應用程序是密碼管理器和各種系統工具, 包括用於保存數據和啟動應用程序的工具. 同時, 為了避免懷疑, 它們都確實有效並且具有聲明的功能.

惡意應用程序現已從 Google Play 商店中刪除, 但其他應用商店可能仍在分發它們. 研究人員說,只有一個受感染的應用程序, 精簡版啟動器, 結束了 10,000 從 Google Play 中刪除時的下載.

AbstractEmu 沒有復雜的功能,也不使用‘clickless’ 在復雜的 APT 攻擊中發現的遠程攻擊. [惡意軟件] 由打開應用程序的用戶簡單地激活. 由於惡意軟件偽裝成正在運行的應用程序, 大多數用戶可能會在下載後不久與它進行交互.研究人員寫道

安裝後 AbstractEmu 開始收集各種系統信息並將其發送到其命令和控制服務器並等待進一步的命令.

AbstractEmu發送系統信息

之後, AbstractEmu 操作員可以給惡意軟件提供各種命令, 例如, 獲得root權限, 根據文件的新程度或匹配給定模式來收集和竊取文件, 並安裝新的應用程序.

AbstractEmu 命令

AbstractEmu 利用其武器庫中的幾個已知漏洞來獲得受感染設備的 root 權限. 一份專家報告指出,其中一個錯誤, CVE-2020-0041, 以前從未被 Android 應用程序使用過.

該惡意軟件還使用公開可用的漏洞攻擊來解決問題 CVE-2019-2215CVE-2020-0041, 和脆弱性 CVE-2020-0069, 在發現 聯發科 籌碼, 被數十家智能手機製造商廣泛使用並安裝在數百萬台設備上.

設備root後, AbstractEmu 可以跟踪通知, 截取屏幕截圖並錄製屏幕視頻, 甚至阻止設備或重置其密碼.

研究人員表示,他們還無法確定惡意軟件在安裝後會執行什麼樣的惡意活動, 但從收到的權限來看, 可以假設 AbstractEmu 與銀行木馬和間諜軟件有相似之處 (如 阿納薩, 禿鷲曼德拉草).

讓我提醒你,我們也寫過 安卓惡意軟件 獅鷲 感染了 10 百萬台設備.

赫爾加·史密斯

我一直對計算機科學感興趣, 特別是數據安全和主題, 現在被稱為 "數據科學", 從我十幾歲起. 在加入病毒清除團隊擔任主編之前, 我曾在多家公司擔任網絡安全專家, 包括亞馬遜的一名承包商. 另一種體驗: 我在雅頓大學和雷丁大學任教.

發表評論

本網站使用的Akismet,以減少垃圾郵件. 了解您的意見如何處理數據.

返回頂部按鈕