АннотацияEmu Malware

AbstractEmu - это вредоносная программа для Android, обладающая опасными возможностями, которые позволяют ей полностью контролировать зараженные устройства. Угроза была впервые обнаружена исследователями информационной безопасности в Lookout Threat Labs. На данный момент было идентифицировано более десятка приложений с оружием, распространяющих AbstractEmu. Эти приложения могли выполнять свои предполагаемые функции, чтобы не вызывать подозрений. Некоторые из них действовали как менеджеры паролей, хранители данных, средства запуска приложений и т. Д.

Девятнадцать угрожающих служебных приложений были доступны для загрузки в нескольких уважаемых магазинах приложений, таких как Google Play, Amazon Appstore, Aptoide, APKPure и Samsung Galaxy Store. Узнав об угрозе AbstractEmu, Google удалил приложения со своей платформы. Тем не менее, одно из сомнительных приложений под названием Lite Launcher, выдававшее себя за законную программу запуска приложений, к моменту удаления уже достигло более 10 000 загрузок.

Технические подробности

Вредоносная программа AbstractEmu - это широко распространенная угроза, обладающая возможностями root, что делает ее в некоторой степени редкостью в среде вредоносных программ, сформировавшейся за последние пару лет. Несмотря на отсутствие сложных систем, часто встречающихся в угрожающих инструментах продвинутых групп APT, AbstractEmu остается эффективной угрозой, которая активируется в тот момент, когда пользователи открывают любое из ее приложений.

Чтобы получить привилегии root, AbstractEmu использует множество уязвимостей. Фактически, это первый случай злоупотребления эксплойтом CVE-2020-0041 в реальной кампании. Еще одна ошибка, которой злоупотребляют, - это уязвимость в чипах MediaTek, отслеживаемая как CVE-2020-0069, которая потенциально может повлиять на миллионы проданных устройств. Киберпреступники, ответственные за создание AbstractEmu, также снабдили его способностью эксплуатировать общедоступный код, использующий эксплойты CVE-2019-2215 и CVE-2020-0041.

Функциональность Эму

Если развернут на устройствеAbstractEmu может успешно выполнять самые разные действия. Во-первых, он будет собирать информацию о взломанном устройстве, включая производителя, модель, версию, IP-адрес, MAC-адрес, привилегии, полученные с помощью угрозы, информацию об учетной записи и многое другое. Собранные данные будут переданы на сервер Command-and-Control (C2, C&C), после чего AbstractEmu будет скрываться на устройстве в ожидании дальнейших команд.

Корневой статус вредоносной программы позволяет хакерам делать практически все, что они хотят. Угроза может быть проинструктирована о сборе выбранных файлов, получении контактной информации, включая имена и номера, отслеживании местоположения устройства, получении и развертывании дополнительных вредоносных полезных нагрузок и т. Д.