AbstractEmu Android 恶意软件“植根”智能手机并逃避检测
Lookout 威胁实验室的研究人员 发现了 一种名为 AbstractEmu 的新型 Android 恶意软件, 哪些“根”受感染的设备, 近年来,这已成为此类恶意软件的一种相当罕见的做法.
抽象鸸鹋 捆绑了 19 通过分发的应用程序 谷歌 Play 和第三方应用商店 (包含 亚马逊 应用商店, 三星 银河店, 阿普托德, 和 APKPure).
这是一个重要的发现,因为根恶意软件在过去五年中已变得罕见. 通过使用“root”来获得对操作系统的特权访问, 攻击者可以谨慎地授予自己危险的权限或安装其他恶意软件, 尽管这些步骤通常需要用户交互.专家说.
受感染的应用程序是密码管理器和各种系统工具, 包括用于保存数据和启动应用程序的工具. 同时, 为了避免怀疑, 它们都确实有效并且具有声明的功能.
恶意应用程序现已从 Google Play 商店中删除, 但其他应用商店可能仍在分发它们. 研究人员说,只有一个受感染的应用程序, 精简版启动器, 结束了 10,000 从 Google Play 中删除时的下载.
AbstractEmu 没有复杂的功能,也不使用‘clickless’ 在复杂的 APT 攻击中发现的远程攻击. [恶意软件] 由打开应用程序的用户简单地激活. 由于恶意软件伪装成正在运行的应用程序, 大多数用户可能会在下载后不久与它进行交互.研究人员写道
安装后 AbstractEmu 开始收集各种系统信息并将其发送到其命令和控制服务器并等待进一步的命令.
之后, AbstractEmu 操作员可以给恶意软件提供各种命令, 例如, 获得root权限, 根据文件的新程度或匹配给定模式来收集和窃取文件, 并安装新的应用程序.
AbstractEmu 利用其武器库中的几个已知漏洞来获得受感染设备的 root 权限. 一份专家报告指出,其中一个错误, CVE-2020-0041, 以前从未被 Android 应用程序使用过.
该恶意软件还使用公开可用的漏洞攻击来解决问题 CVE-2019-2215 和 CVE-2020-0041, 和脆弱性 CVE-2020-0069, 在发现 联发科 筹码, 被数十家智能手机制造商广泛使用并安装在数百万台设备上.
设备root后, AbstractEmu 可以跟踪通知, 截取屏幕截图并录制屏幕视频, 甚至阻止设备或重置其密码.
研究人员表示,他们还无法确定恶意软件在安装后会执行什么样的恶意活动, 但从收到的权限来看, 可以假设 AbstractEmu 与银行木马和间谍软件有相似之处 (如 阿纳萨, 秃鹫 和 曼德拉草).
让我提醒你,我们也写过 安卓恶意软件 狮鹫 感染了 10 百万台设备.