AbstractEmu البرامج الضارة

AbstractEmu هو برنامج ضار يعمل بنظام Android مزود بقدرات تهديدية تسمح له بالسيطرة الكاملة على الأجهزة المصابة. تم الكشف عن التهديد لأول مرة من قبل باحثي إنفوسيك في Lookout Threat Labs. حتى الآن ، تم تحديد أكثر من اثني عشر تطبيقًا مسلحًا لنشر AbstractEmu. كانت هذه التطبيقات قادرة على أداء وظائفها المفترضة لتجنب إثارة أي شك. بعضهم عمل كمديرين لكلمات المرور ، وحفظ البيانات ، ومشغلات التطبيقات ، وما إلى ذلك.

كانت تطبيقات الأدوات التسعة عشر المهددة متاحة للتنزيل على العديد من متاجر التطبيقات ذات السمعة الطيبة ، مثل Google Play و Amazon Appstore و Aptoide و APKPure و Samsung Galaxy Store. بعد أن أدركت تهديد AbstractEmu ، أزالت Google التطبيقات من نظامها الأساسي. ومع ذلك ، فإن أحد التطبيقات المشكوك فيها المسمى Lite Launcher ، الذي يتظاهر بأنه مشغل تطبيقات شرعي ، قد وصل بالفعل إلى أكثر من 10000 تنزيل بحلول وقت إزالته.

تفاصيل تقنية

تعد البرامج الضارة AbstractEmu تهديدًا منتشرًا على نطاق واسع ومزود بقدرات جذرية ، مما يجعلها نادرة إلى حد ما في مشهد البرامج الضارة التي تشكلت في العامين الماضيين. على الرغم من الافتقار إلى الأنظمة المتطورة التي توجد غالبًا في أدوات التهديد لمجموعات APT المتقدمة ، لا يزال AbstractEmu يمثل تهديدًا فعالًا ينشط اللحظة التي يفتح فيها المستخدمون أيًا من تطبيقاتها.

للحصول على امتيازات الجذر ، يستغل AbstractEmu العديد من نقاط الضعف. في الواقع ، هذه هي المرة الأولى التي لوحظ فيها استغلال CVE-2020-0041 في حملة مباشرة. هناك خطأ آخر تم إساءة استخدامه وهو ثغرة أمنية في شرائح MediaTek التي تم تتبعها باسم CVE-2020-0069 والتي يمكن أن تؤثر على ملايين الأجهزة المباعة. كما قام المجرمون الإلكترونيون المسؤولون عن إنشاء AbstractEmu بتزويده بالقدرة على استغلال الكود المتاح للجمهور الذي يستفيد من ثغرات CVE-2019-2215 و CVE-2020-0041.

الملخص وظائف Emu

إذا تم نشرها على الجهازبنجاح ، يمكن لـ AbstractEmu تنفيذ مجموعة متنوعة من الإجراءات التدخلية. أولاً ، ستجمع معلومات حول الجهاز المعرض للخطر ، بما في ذلك الشركة المصنعة والطراز والإصدار وعنوان IP وعنوان MAC والامتيازات التي حصل عليها التهديد ومعلومات الحساب والمزيد. سيتم إرسال البيانات التي تم جمعها إلى خادم الأوامر والتحكم (C2 ، C&C) ، وبعد ذلك سيبقى AbstractEmu على الجهاز في انتظار المزيد من الأوامر.

تسمح حالة الجذر للبرنامج الضار للمتسللين بفعل أي شيء يرغبون فيه تقريبًا. يمكن توجيه التهديد لجمع الملفات المختارة ، والحصول على معلومات الاتصال بما في ذلك الأسماء والأرقام ، وتتبع موقع الجهاز ، وجلب ونشر حمولات ضارة إضافية والمزيد.