초록에뮤 악성코드

AbstractEmu는 감염된 장치를 완전히 제어할 수 있는 위협적인 기능을 갖춘 Android 멀웨어입니다. 위협은 Lookout Threat Labs의 infosec 연구원에 의해 처음 발견되었습니다. 지금까지 AbstractEmu를 퍼뜨리는 12개 이상의 무기화된 애플리케이션이 확인되었습니다. 이러한 응용 프로그램은 의심의 여지가 없는 기능을 수행할 수 있었습니다. 그들 중 일부는 암호 관리자, 데이터 보호기, 응용 프로그램 실행기 등의 역할을 했습니다.

19개의 위협적인 유틸리티 애플리케이션은 Google Play, Amazon Appstore, Aptoide, APKPure 및 Samsung Galaxy Store와 같은 평판이 좋은 여러 앱 스토어에서 다운로드할 수 있었습니다. AbstractEmu 위협을 인지한 후 Google은 플랫폼에서 애플리케이션을 삭제했습니다. 그러나 합법적인 애플리케이션 런처인 것처럼 가장하는 Lite Launcher라는 모호한 애플리케이션 중 하나는 제거될 때 이미 10,000건 이상의 다운로드에 도달했습니다.

기술적 세부 사항

AbstractEmu 맬웨어는 루트 기능을 갖춘 널리 배포된 위협으로 지난 몇 년 동안 형성된 맬웨어 환경에서 다소 희귀합니다. 고급 APT 그룹의 위협 도구에서 흔히 볼 수 있는 정교한 시스템이 부족함에도 불구하고 AbstractEmu는 사용자가 응용 프로그램을 여는 순간 활성화하는 효과적인 위협으로 남아 있습니다.

루트 권한을 얻기 위해 AbstractEmu는 수많은 취약점을 악용합니다. 실제로 CVE-2020-0041 익스플로잇이 라이브 캠페인에서 악용된 것으로 관찰된 것은 이번이 처음입니다. 악용되는 또 다른 버그는 CVE-2020-0069로 추적되는 MediaTek 칩의 취약점으로 수백만 대의 판매된 장치에 잠재적으로 영향을 미칠 수 있습니다. AbstractEmu 생성을 담당하는 사이버 범죄자는 CVE-2019-2215 및 CVE-2020-0041 익스플로잇을 이용하는 공개 코드를 악용할 수 있는 능력도 갖추고 있습니다.

AbstractEmu의 기능

장치에 배포된 경우성공적으로 AbstractEmu는 다양한 침입 작업을 수행할 수 있습니다. 먼저 제조업체, 모델, 버전, IP 주소, MAC 주소, 위협에 의해 획득한 권한, 계정 정보 등을 포함하여 손상된 장치에 대한 정보를 수집합니다. 수집된 데이터는 명령 및 제어(C2, C&C) 서버로 전송되고 그 후 AbstractEmu는 추가 명령을 기다리는 장치에 숨어 있습니다.

멀웨어의 루트 상태를 통해 해커는 원하는 거의 모든 작업을 수행할 수 있습니다. 위협은 선택한 파일을 수집하고, 이름과 번호를 포함한 연락처 정보를 얻고, 장치의 위치를 추적하고, 추가 악성 페이로드를 가져와 배포하는 등의 작업을 지시할 수 있습니다.