AbstractEmu Malware

AbstractEmu Malware Beschrijving

AbstractEmu is een Android-malware die is uitgerust met bedreigende mogelijkheden waarmee het de volledige controle over de geïnfecteerde apparaten kan krijgen. De dreiging werd voor het eerst ontdekt door infosec-onderzoekers van de Lookout Threat Labs. Tot dusver zijn meer dan een dozijn bewapende applicaties geïdentificeerd die AbstractEmu verspreiden. Deze applicaties waren in staat om hun veronderstelde functionaliteit uit te voeren om geen argwaan te wekken. Sommigen van hen fungeerden als wachtwoordbeheerders, gegevensbespaarders, applicatiestarters, enz.

De negentien bedreigende hulpprogramma's waren te downloaden in meerdere gerenommeerde app-winkels, zoals Google Play, Amazon Appstore, Aptoide, APKPure en de Samsung Galaxy Store. Nadat Google zich bewust werd van de AbstractEmu-dreiging, verwijderde Google de applicaties van zijn platform. Toch had een van de dubieuze applicaties genaamd Lite Launcher, die zich voordeed als een legitieme applicatiestarter, al meer dan 10.000 downloads bereikt tegen de tijd dat het werd verwijderd.

Technische details

De AbstractEmu-malware is een wijdverspreide bedreiging die is uitgerust met rootmogelijkheden, waardoor het een zeldzaamheid is in het malwarelandschap dat zich de afgelopen jaren heeft gevormd. Ondanks het ontbreken van de geavanceerde systemen die vaak worden aangetroffen in de bedreigende tools van geavanceerde APT-groepen, blijft AbstractEmu een effectieve bedreiging die wordt geactiveerd zodra gebruikers een van zijn applicaties openen.

Om rootrechten te verkrijgen, maakt AbstractEmu gebruik van talrijke kwetsbaarheden. Dit is zelfs de eerste keer dat de exploit CVE-2020-0041 werd misbruikt in een live campagne. Een andere misbruikte bug is een kwetsbaarheid in MediaTek-chips die wordt bijgehouden als CVE-2020-0069 en die mogelijk gevolgen kan hebben voor miljoenen verkochte apparaten. De cybercriminelen die verantwoordelijk zijn voor het maken van AbstractEmu hebben het ook uitgerust met de mogelijkheid om openbaar beschikbare code te exploiteren die profiteert van de exploits CVE-2019-2215 en CVE-2020-0041.

AbstractEmu's functionaliteit

Indien geïmplementeerd op het apparaatMet succes kan AbstractEmu een breed scala aan opdringerige acties uitvoeren. Eerst verzamelt het informatie over het gecompromitteerde apparaat, inclusief fabrikant, model, versie, IP-adres, MAC-adres, de privileges die door de dreiging zijn verkregen, accountinformatie en meer. De verzamelde gegevens worden verzonden naar de Command-and-Control (C2, C&C) -server, waarna AbstractEmu op het apparaat op de loer ligt in afwachting van verdere opdrachten.

Dankzij de rootstatus van de malware kunnen hackers bijna alles doen wat ze willen. De dreiging kan worden geïnstrueerd om gekozen bestanden te verzamelen, contactgegevens inclusief namen en nummers te verkrijgen, de locatie van het apparaat te volgen, aanvullende kwaadaardige payloads op te halen en in te zetten en meer.