AbstractEmu Malware

AbstractEmu er en Android-malware udstyret med truende egenskaber, der tillader den at tage fuld kontrol over de inficerede enheder. Truslen blev først afsløret af infosec-forskere ved Lookout Threat Labs. Indtil videre er over et dusin våbenbaserede applikationer, der spreder AbstractEmu, blevet identificeret. Disse applikationer var i stand til at udføre deres formodede funktionalitet for at undgå at rejse mistanke. Nogle af dem fungerede som adgangskodeadministratorer, databesparere, applikationsstartere osv.

De nitten truende hjælpeprogrammer var tilgængelige til download på flere velrenommerede app-butikker, såsom Google Play, Amazon Appstore, Aptoide, APKPure og Samsung Galaxy Store. Efter at være blevet opmærksom på AbstractEmu-truslen fjernede Google applikationerne fra sin platform. Alligevel havde en af de tvivlsomme applikationer ved navn Lite Launcher, der udgav sig for at være en legitim applikationsstarter, allerede nået over 10.000 downloads, da den blev fjernet.

Tekniske detaljer

AbstractEmu-malwaren er en vidt udbredt trussel udstyret med root-funktioner, hvilket gør det noget af en sjældenhed i malware-landskabet, der er dannet i de sidste par år. På trods af at de mangler de sofistikerede systemer, der ofte findes i de truende værktøjer i avancerede APT-grupper, forbliver AbstractEmu en effektiv trussel, der aktiveres i det øjeblik, brugere åbner nogen af dens applikationer.

For at opnå root-privilegier udnytter AbstractEmu adskillige sårbarheder. Faktisk er det første gang, at CVE-2020-0041-udnyttelsen blev observeret misbrugt i en live-kampagne. En anden misbrugt fejl er en sårbarhed i MediaTek-chips sporet som CVE-2020-0069, der potentielt kan påvirke millioner af solgte enheder. De cyberkriminelle, der er ansvarlige for at skabe AbstractEmu, har også udstyret den med evnen til at udnytte offentligt tilgængelig kode, der udnytter CVE-2019-2215 og CVE-2020-0041 udnyttelser.

AbstractEmus funktionalitet

Hvis den er installeret på enhedenMed succes kan AbstractEmu udføre en bred vifte af påtrængende handlinger. Først vil den indsamle oplysninger om den kompromitterede enhed, herunder producent, model, version, IP-adresse, MAC-adresse, de privilegier, truslen opnår, kontooplysninger og mere. De indsamlede data vil blive transmitteret til Command-and-Control (C2, C&C) serveren, hvorefter AbstractEmu lurer på enheden og venter på yderligere kommandoer.

Rodstatus for malwaren tillader hackerne at gøre næsten hvad som helst, de ønsker. Truslen kan instrueres til at indsamle udvalgte filer, indhente kontaktoplysninger inklusive navne og numre, spore enhedens placering, hente og implementere yderligere ondsindede nyttelaster og mere.