AbstractEmu Malware

AbstractEmu è un malware Android dotato di capacità minacciose che gli consentono di assumere il pieno controllo dei dispositivi infetti. La minaccia è stata scoperta per la prima volta dai ricercatori di infosec dei Lookout Threat Labs. Finora sono state identificate oltre una dozzina di applicazioni armate che diffondono AbstractEmu. Queste applicazioni sono state in grado di svolgere la loro presunta funzionalità per evitare di destare sospetti. Alcuni di loro hanno agito come gestori di password, risparmiatori di dati, lanciatori di applicazioni, ecc.

Le diciannove minacciose applicazioni di utilità erano disponibili per il download su diversi app store affidabili, come Google Play, Amazon Appstore, Aptoide, APKPure e Samsung Galaxy Store. Dopo essere venuto a conoscenza della minaccia AbstractEmu, Google ha eliminato le applicazioni dalla sua piattaforma. Tuttavia, una delle dubbie applicazioni denominata Lite Launcher, che fingeva di essere un lanciatore di applicazioni legittimo, aveva già raggiunto oltre 10.000 download quando è stata rimossa.

Dettagli tecnici

Il malware AbstractEmu è una minaccia ampiamente distribuita dotata di funzionalità di root, che lo rende un po' una rarità nel panorama del malware che si è formato negli ultimi due anni. Nonostante manchino dei sistemi sofisticati che spesso si trovano negli strumenti minacciosi dei gruppi APT avanzati, AbstractEmu rimane una minaccia efficace che si attiva nel momento in cui gli utenti aprono una qualsiasi delle sue applicazioni.

Per ottenere i privilegi di root, AbstractEmu sfrutta numerose vulnerabilità. In effetti, questa è la prima volta che si osserva un abuso dell'exploit CVE-2020-0041 in una campagna live. Un altro bug abusato è una vulnerabilità nei chip MediaTek tracciata come CVE-2020-0069 che potrebbe potenzialmente avere un impatto su milioni di dispositivi venduti. I criminali informatici responsabili della creazione di AbstractEmu lo hanno anche dotato della capacità di sfruttare il codice disponibile pubblicamente che sfrutta gli exploit CVE-2019-2215 e CVE-2020-0041.

Funzionalità di AbstractEmu

Se distribuito sul dispositivocon successo, AbstractEmu può eseguire un'ampia varietà di azioni intrusive. Innanzitutto, raccoglierà informazioni sul dispositivo compromesso, inclusi produttore, modello, versione, indirizzo IP, indirizzo MAC, privilegi ottenuti dalla minaccia, informazioni sull'account e altro. I dati raccolti verranno trasmessi al server Command-and-Control (C2, C&C), dopodiché AbstractEmu si appoggerà sul dispositivo in attesa di ulteriori comandi.

Lo stato di root del malware consente agli hacker di fare quasi tutto ciò che desiderano. La minaccia può essere istruita a raccogliere file scelti, ottenere informazioni di contatto inclusi nomi e numeri, tenere traccia della posizione del dispositivo, recuperare e distribuire ulteriori payload dannosi e altro ancora.