AbstractEmu Malware

AbstractEmu to złośliwe oprogramowanie na Androida wyposażone w groźne możliwości, które pozwalają mu przejąć pełną kontrolę nad zainfekowanymi urządzeniami. Zagrożenie zostało po raz pierwszy wykryte przez badaczy infosec z Lookout Threat Labs. Do tej pory zidentyfikowano kilkanaście uzbrojonych aplikacji rozprzestrzeniających AbstractEmu. Aplikacje te były w stanie wykonywać swoją rzekomą funkcjonalność, aby uniknąć wzbudzania jakichkolwiek podejrzeń. Niektóre z nich działały jako menedżery haseł, oszczędzacze danych, programy uruchamiające aplikacje itp.

Dziewiętnaście groźnych aplikacji narzędziowych było dostępnych do pobrania w wielu renomowanych sklepach z aplikacjami, takich jak Google Play, Amazon Appstore, Aptoide, APKPure i Samsung Galaxy Store. Po uświadomieniu sobie zagrożenia AbstractEmu, Google usunęło aplikacje ze swojej platformy. Mimo to jedna z podejrzanych aplikacji o nazwie Lite Launcher, udająca legalny program uruchamiający aplikacje, osiągnęła już ponad 10 000 pobrań do czasu jej usunięcia.

Szczegóły techniczne

Szkodliwe oprogramowanie AbstractEmu jest szeroko rozpowszechnionym zagrożeniem wyposażonym w funkcje rootowania, co czyni go nieco rzadkością w krajobrazie złośliwego oprogramowania, który ukształtował się w ciągu ostatnich kilku lat. Pomimo braku wyrafinowanych systemów często spotykanych w groźnych narzędziach zaawansowanych grup APT, AbstractEmu pozostaje skutecznym zagrożeniem, które aktywuje się w momencie, gdy użytkownicy otwierają którąkolwiek z jego aplikacji.

Aby uzyskać uprawnienia roota, AbstractEmu wykorzystuje liczne luki w zabezpieczeniach. W rzeczywistości po raz pierwszy zaobserwowano nadużycie exploita CVE-2020-0041 w kampanii na żywo. Innym nadużywanym błędem jest luka w chipach MediaTek śledzona jako CVE-2020-0069, która może potencjalnie wpłynąć na miliony sprzedanych urządzeń. Cyberprzestępcy odpowiedzialni za stworzenie AbstractEmu wyposażyli go również w możliwość wykorzystywania publicznie dostępnego kodu, który wykorzystuje exploity CVE-2019-2215 i CVE-2020-0041.

Funkcjonalność AbstractEmu

W przypadku wdrożenia na urządzeniuz powodzeniem AbstractEmu może wykonywać wiele różnych natrętnych działań. Najpierw zbierze informacje o zaatakowanym urządzeniu, w tym producenta, model, wersję, adres IP, adres MAC, uprawnienia uzyskane przez zagrożenie, informacje o koncie i inne. Zebrane dane zostaną przesłane do serwera Command-and-Control (C2, C&C), po czym AbstractEmu czai się na urządzeniu czekając na kolejne polecenia.

Status root złośliwego oprogramowania pozwala hakerom robić prawie wszystko, czego chcą. Zagrożenie może zostać poinstruowane, aby zebrać wybrane pliki, uzyskać informacje kontaktowe, w tym nazwiska i numery, śledzić lokalizację urządzenia, pobierać i wdrażać dodatkowe złośliwe ładunki i nie tylko.