AbstractEmu 恶意软件

AbstractEmu 恶意软件说明

AbstractEmu 是一种 Android 恶意软件,具有威胁功能,可以完全控制受感染的设备。 Lookout Threat Labs 的信息安全研究人员首先发现了这种威胁。到目前为止,已经确定了十多种传播 AbstractEmu 的武器化应用程序。这些应用程序能够执行其假定的功能,以避免引起任何怀疑。其中一些充当密码管理器、数据保护程序、应用程序启动器等。

这 19 款具有威胁性的实用程序可在多个信誉良好的应用商店下载,例如 Google Play、Amazon Appstore、Aptoide、APKPure 和三星 Galaxy Store。在意识到 AbstractEmu 威胁后,谷歌从其平台上清除了这些应用程序。尽管如此,其中一个名为 Lite Launcher 的可疑应用程序假装是一个合法的应用程序启动器,在它被删除时已经达到了 10,000 次以上的下载量。

技术细节

AbstractEmu 恶意软件是一种广泛分布的威胁,配备了 root 功能,使其在过去几年形成的恶意软件领域中有些罕见。尽管缺乏高级 APT 组织的威胁工具中常见的复杂系统,AbstractEmu 仍然是一种有效的威胁,可以在用户打开其任何应用程序时立即激活。

为了获得 root 权限,AbstractEmu 利用了许多漏洞。事实上,这是第一次观察到 CVE-2020-0041 漏洞在现场活动中被滥用。另一个被滥用的错误是联发科芯片中的一个漏洞,被跟踪为 CVE-2020-0069,可能会影响数百万台已售出的设备。负责创建 AbstractEmu 的网络犯罪分子还为其配备了利用 CVE-2019-2215 和 CVE-2020-0041 漏洞利用公开可用代码的能力。

AbstractEmu 的功能

如果部署到设备成功地,AbstractEmu 可以执行各种侵入性操作。首先,它将收集有关受感染设备的信息,包括制造商、型号、版本、IP 地址、MAC 地址、威胁获得的权限、帐户信息等。收集到的数据将被传输到命令和控制(C2,C&C)服务器,之后 AbstractEmu 将潜伏在设备上等待进一步的命令。

恶意软件的根状态允许黑客做几乎任何他们想做的事情。可以指示威胁收集选定的文件、获取包括姓名和号码在内的联系信息、跟踪设备的位置、获取和部署其他恶意负载等。