AbstractEmu Malware

O AbstractEmu é um malware par o Android, equipado com recursos de ameaça que permitem assumir o controle total sobre os dispositivos infectados. A ameaça foi descoberta pela primeira vez pelos pesquisadores de Infosec no Lookout Threat Labs. Até agora, mais de uma dúzia de aplicativos armados que espalham o AbstractEmu foram identificados. Esses aplicativos foram capazes de executar sua suposta funcionalidade para evitar levantar qualquer suspeita. Alguns deles atuaram como gerenciadores de senhas, poupadores de dados, iniciadores de aplicativos, etc.

Os dezenove aplicativos utilitários ameaçadores estavam disponíveis para download em várias lojas de aplicativos de boa reputação, tais como o Google Play, Amazon Appstore, Aptoide, APKPure e Samsung Galaxy Store. Depois de tomar conhecimento da ameaça apresentada pelo AbstractEmu, o Google eliminou os aplicativos de sua plataforma. Ainda assim, um dos aplicativos duvidosos chamado Lite Launcher, fingindo ser um inicializador de aplicativos legítimo, já tinha atingido mais de 10.000 downloads quando foi removido.

Detalhes Técnicos

O malware AbstractEmu é uma ameaça amplamente distribuída, equipada com recursos de raiz, o que o torna uma raridade no cenário de malware que se formou nos últimos dois anos. Apesar da falta de sistemas sofisticados frequentemente encontrados nas ferramentas ameaçadoras de grupos APT avançados, o AbstractEmu continua sendo uma ameaça eficaz que é ativada no momento em que os usuários abrem qualquer um de seus aplicativos.

Para obter privilégios de root, o AbstractEmu explora inúmeras vulnerabilidades. Na verdade, esta é a primeira vez que a exploração CVE-2020-0041 foi observada como sendo abusada em uma campanha ao vivo. Outro bug usado é uma vulnerabilidade nos chips MediaTek rastreados como CVE-2020-0069 que pode impactar milhões de dispositivos vendidos. Os cibercriminosos responsáveis pela criação do AbstractEmu também o equiparam com a capacidade de explorar o código disponível publicamente que tira proveito dos exploits CVE-2019-2215 e CVE-2020-0041.

A Funcionalidade do AbstractEmu

Se implantado no dispositivo com sucesso, o AbstractEmu pode executar uma ampla variedade de ações intrusivas. Primeiro, ele reunirá informações sobre o dispositivo comprometido, incluindo fabricante, modelo, versão, endereço IP, endereço MAC, os privilégios obtidos pela ameaça, informações da conta e muito mais. Os dados coletados serão transmitidos para o servidor de Comando e Controle (C2, C&C), após o qual o AbstractEmu ficará à espreita no dispositivo aguardando novos comandos.

O status de raiz do malware permite que os hackers façam quase tudo que desejarem. A ameaça pode ser instruída a coletar arquivos escolhidos, obter informações de contato, incluindo nomes e números, rastrear a localização do dispositivo, buscar e implantar cargas úteis maliciosas adicionais e muito mais.