AbstractEmu Malware
AbstractEmu je malware pro Android vybavený hrozivými funkcemi, které mu umožňují převzít plnou kontrolu nad infikovanými zařízeními. Hrozbu poprvé odhalili výzkumníci infosec v laboratořích Lookout Threat Labs. Dosud bylo identifikováno přes tucet zbraňových aplikací šířících AbstractEmu. Tyto aplikace byly schopny vykonávat svou předpokládanou funkci, aby nevzbudily jakékoli podezření. Některé z nich fungovaly jako správci hesel, spořiče dat, spouštěče aplikací atd.
Devatenáct hrozivých obslužných aplikací bylo k dispozici ke stažení v několika renomovaných obchodech s aplikacemi, jako je Google Play, Amazon Appstore, Aptoide, APKPure a Samsung Galaxy Store. Poté, co se Google dozvěděl o hrozbě AbstractEmu, odstranil aplikace ze své platformy. Přesto jedna z pochybných aplikací s názvem Lite Launcher, vydávající se za legitimní spouštěč aplikací, již dosáhla více než 10 000 stažení v době, kdy byla odstraněna.
Technické údaje
Malware AbstractEmu je široce distribuovaná hrozba vybavená funkcemi root, což z něj činí poněkud raritu v malwarovém prostředí, které se vytvořilo v posledních několika letech. Navzdory nedostatku sofistikovaných systémů, které se často vyskytují v hrozivých nástrojích pokročilých skupin APT, zůstává AbstractEmu účinnou hrozbou, která se aktivuje v okamžiku, kdy uživatelé otevřou kteroukoli z jejích aplikací.
K získání práv roota využívá AbstractEmu řadu zranitelností. Ve skutečnosti je to poprvé, kdy bylo zneužito CVE-2020-0041 v živé kampani. Další zneužitou chybou je zranitelnost čipů MediaTek sledovaná jako CVE-2020-0069, která by mohla potenciálně ovlivnit miliony prodaných zařízení. Kyberzločinci zodpovědní za vytvoření AbstractEmu jej také vybavili schopností využívat veřejně dostupný kód, který využívá exploity CVE-2019-2215 a CVE-2020-0041.
Funkce AbstractEmu
Pokud je nasazen do zařízeníúspěšně, AbstractEmu může provádět širokou škálu rušivých akcí. Nejprve shromáždí informace o napadeném zařízení, včetně výrobce, modelu, verze, IP adresy, MAC adresy, oprávnění získaných hrozbou, informací o účtu a dalších. Shromážděná data budou přenesena na server Command-and-Control (C2, C&C), poté bude AbstractEmu číhat na zařízení a čekat na další příkazy.
Kořenový stav malwaru umožňuje hackerům dělat téměř vše, co chtějí. Hrozba může být instruována ke shromažďování vybraných souborů, získávání kontaktních informací včetně jmen a čísel, sledování polohy zařízení, získávání a nasazování dalších škodlivých dat a další.
