AbstractEmu Malware

AbstractEmu, virüslü cihazlar üzerinde tam kontrol sahibi olmasına izin veren tehdit edici yeteneklerle donatılmış bir Android kötü amaçlı yazılımıdır. Tehdit ilk olarak Lookout Threat Labs'taki bilgi güvenliği araştırmacıları tarafından ortaya çıkarıldı. Şimdiye kadar, AbstractEmu'yu yayan bir düzineden fazla silahlı uygulama tespit edildi. Bu uygulamalar, herhangi bir şüphe uyandırmamak için varsayılan işlevlerini yerine getirebildi. Bazıları şifre yöneticileri, veri koruyucular, uygulama başlatıcılar vb.

On dokuz tehdit edici yardımcı program uygulaması Google Play, Amazon Appstore, Aptoide, APKPure ve Samsung Galaxy Store gibi çok sayıda saygın uygulama mağazasından indirilebiliyordu. Google, AbstractEmu tehdidinin farkına vardıktan sonra uygulamaları platformundan kaldırdı. Yine de, meşru bir uygulama başlatıcısı gibi davranan Lite Launcher adlı şüpheli uygulamalardan biri, kaldırıldığı zaman 10.000'den fazla indirmeye ulaşmıştı.

Teknik detaylar

AbstractEmu kötü amaçlı yazılımı, kök yetenekleriyle donatılmış, yaygın olarak dağıtılmış bir tehdittir ve bu, onu son birkaç yılda oluşan kötü amaçlı yazılım ortamında biraz nadir hale getirir. Gelişmiş APT gruplarının tehdit edici araçlarında sıklıkla bulunan karmaşık sistemlerden yoksun olmasına rağmen, AbstractEmu, kullanıcılar herhangi bir uygulamasını açtığı anda harekete geçen etkili bir tehdit olmaya devam ediyor.

Kök ayrıcalıkları elde etmek için AbstractEmu çok sayıda güvenlik açığından yararlanır. Aslında, CVE-2020-0041 istismarının canlı bir kampanyada ilk kez kötüye kullanıldığı gözlemlendi. Kötüye kullanılan başka bir hata, CVE-2020-0069 olarak izlenen MediaTek yongalarındaki milyonlarca satılan cihazı potansiyel olarak etkileyebilecek bir güvenlik açığıdır. AbstractEmu'yu oluşturmaktan sorumlu siber suçlular, aynı zamanda, onu CVE-2019-2215 ve CVE-2020-0041 açıklarından yararlanan, herkese açık kodlardan yararlanma yeteneği ile donattı.

AbstractEmu'nun İşlevselliği

Cihaza dağıtılırsabaşarılı bir şekilde, AbstractEmu çok çeşitli müdahaleci eylemler gerçekleştirebilir. İlk olarak, üretici, model, sürüm, IP adresi, MAC adresi, tehdit tarafından elde edilen ayrıcalıklar, hesap bilgileri ve daha fazlası dahil olmak üzere güvenliği ihlal edilen cihaz hakkında bilgi toplayacaktır. Toplanan veriler Komut ve Kontrol (C2, C&C) sunucusuna iletilecektir, bundan sonra AbstractEmu başka komutları bekleyen cihazda pusuya yatacaktır.

Kötü amaçlı yazılımın kök durumu, bilgisayar korsanlarının neredeyse istedikleri her şeyi yapmalarına olanak tanır. Tehdide, seçilen dosyaları toplaması, adlar ve numaralar dahil iletişim bilgilerini alması, cihazın konumunu izlemesi, ek kötü amaçlı yükleri getirmesi ve dağıtması ve daha fazlası için talimat verilebilir.