AbstractEmu злонамерен софтуер

До Mezo през Mobile Malwareг

Превод на:

AbstractEmu е зловреден софтуер за Android, оборудван със заплашителни възможности, които му позволяват да поеме пълен контрол над заразените устройства. Заплахата е разкрита за първи път от изследователи на инфосек от Lookout Threat Labs. Досега са идентифицирани над дузина оръжейни приложения, разпространяващи AbstractEmu. Тези приложения успяха да изпълнят предполагаемата си функционалност, за да избегнат подозрения. Някои от тях са действали като мениджъри на пароли, спестяващи данни, програми за стартиране на приложения и т.н.

Деветнадесетте заплашителни помощни приложения бяха достъпни за изтегляне в множество реномирани магазини за приложения, като Google Play, Amazon Appstore, Aptoide, APKPure и Samsung Galaxy Store. След като разбра за заплахата AbstractEmu, Google изчисти приложенията от своята платформа. Все пак едно от съмнителните приложения, наречено Lite Launcher, което се преструва на легитимен стартер на приложения, вече е достигнало над 10 000 изтегляния до момента, в който е премахнат.

Технически подробности

Зловредният софтуер AbstractEmu е широко разпространена заплаха, оборудвана с root възможности, което го прави рядкост в пейзажа на зловреден софтуер, който се формира през последните няколко години. Въпреки липсата на сложни системи, често срещани в заплашващите инструменти на напреднали APT групи, AbstractEmu остава ефективна заплаха, която се активира в момента, в който потребителите отворят някое от неговите приложения.

За да получи root привилегии, AbstractEmu използва множество уязвимости. Всъщност това е първият път, когато се наблюдава злоупотреба с експлойта CVE-2020-0041 в кампания на живо. Друга злоупотребена грешка е уязвимост в чиповете на MediaTek, проследявани като CVE-2020-0069, която потенциално може да засегне милиони продадени устройства. Киберпрестъпниците, отговорни за създаването на AbstractEmu, също са го оборудвали с възможността да експлоатира публично достъпен код, който се възползва от експлойтите CVE-2019-2215 и CVE-2020-0041.

Функционалност на AbstractEmu

Ако е разгърнат на устройствотоуспешно AbstractEmu може да изпълнява голямо разнообразие от натрапчиви действия. Първо, той ще събере информация за компрометираното устройство, включително производител, модел, версия, IP адрес, MAC адрес, привилегиите, получени от заплахата, информация за акаунта и др. Събраните данни ще бъдат предадени на сървъра за командване и управление (C2, C&C), след което AbstractEmu ще дебне устройството в очакване на допълнителни команди.

Основният статус на зловредния софтуер позволява на хакерите да правят почти всичко, което пожелаят. Заплахата може да бъде инструктирана да събира избрани файлове, да получава информация за контакт, включително имена и номера, да проследява местоположението на устройството, да извлича и разгръща допълнителни злонамерени полезни товари и др.