AbstractEmu Malware

AbstractEmu är en skadlig programvara för Android utrustad med hotfulla funktioner som gör att den kan ta full kontroll över de infekterade enheterna. Hotet upptäcktes först av infosec-forskare vid Lookout Threat Labs. Hittills har över ett dussin vapentillämpningar som sprider AbstractEmu identifierats. Dessa applikationer kunde utföra sin förmodade funktionalitet för att undvika att väcka misstankar. Några av dem fungerade som lösenordshanterare, datasparare, programstartare, etc.

De nitton hotfulla verktygsapplikationerna var tillgängliga för nedladdning på flera välrenommerade appbutiker, som Google Play, Amazon Appstore, Aptoide, APKPure och Samsung Galaxy Store. Efter att ha blivit medveten om AbstractEmu-hotet, rensade Google applikationerna från sin plattform. Ändå hade en av de tvivelaktiga applikationerna som heter Lite Launcher, som låtsas vara en legitim applikationsstartare, redan nått över 10 000 nedladdningar när den togs bort.

Tekniska detaljer

Skadlig programvara AbstractEmu är ett brett spritt hot utrustat med rotfunktioner, vilket gör det något av en sällsynthet i det skadliga landskapet som har bildats under de senaste åren. Trots att de saknar de sofistikerade systemen som ofta finns i de hotfulla verktygen hos avancerade APT-grupper, förblir AbstractEmu ett effektivt hot som aktiveras i det ögonblick som användare öppnar någon av dess applikationer.

För att få root-privilegier utnyttjar AbstractEmu många sårbarheter. Faktum är att detta är första gången som CVE-2020-0041 missbrukades i en livekampanj. En annan missbrukad bugg är en sårbarhet i MediaTek-chips spårad som CVE-2020-0069 som potentiellt kan påverka miljontals sålda enheter. De cyberbrottslingar som är ansvariga för att skapa AbstractEmu har också utrustat den med förmågan att utnyttja allmänt tillgänglig kod som drar fördel av CVE-2019-2215 och CVE-2020-0041 exploateringen.

AbstractEmus funktionalitet

Om den distribueras till enhetenframgångsrikt kan AbstractEmu utföra en mängd olika påträngande åtgärder. Först samlar den information om den komprometterade enheten, inklusive tillverkare, modell, version, IP-adress, MAC-adress, de privilegier som hotet erhåller, kontoinformation och mer. Den insamlade informationen kommer att överföras till Command-and-Control-servern (C2, C&C), varefter AbstractEmu lurar på enheten och väntar på ytterligare kommandon.

Rotstatusen för skadlig programvara gör att hackarna kan göra nästan vad de vill. Hotet kan instrueras att samla in valda filer, få kontaktinformation inklusive namn och nummer, spåra enhetens plats, hämta och distribuera ytterligare skadliga nyttolaster och mer.