AbstractEmu 惡意軟件

AbstractEmu 惡意軟件說明

AbstractEmu 是一種 Android 惡意軟件,具有威脅功能,可以完全控制受感染的設備。 Lookout Threat Labs 的信息安全研究人員首先發現了這種威脅。到目前為止,已經確定了十多種傳播 AbstractEmu 的武器化應用程序。這些應用程序能夠執行其假定的功能,以避免引起任何懷疑。其中一些充當密碼管理器、數據保護程序、應用程序啟動器等。

這 19 款具有威脅性的實用程序可在多個信譽良好的應用商店下載,例如 Google Play、Amazon Appstore、Aptoide、APKPure 和三星 Galaxy Store。在意識到 AbstractEmu 威脅後,谷歌從其平台上清除了這些應用程序。儘管如此,其中一個名為 Lite Launcher 的可疑應用程序假裝是一個合法的應用程序啟動器,在它被刪除時已經達到了 10,000 次以上的下載量。

技術細節

AbstractEmu 惡意軟件是一種廣泛分佈的威脅,配備了 root 功能,使其在過去幾年形成的惡意軟件領域中有些罕見。儘管缺乏高級 APT 組織的威脅工具中常見的複雜系統,AbstractEmu 仍然是一種有效的威脅,可以在用戶打開其任何應用程序時立即激活。

為了獲得 root 權限,AbstractEmu 利用了許多漏洞。事實上,這是第一次在現場活動中觀察到 CVE-2020-0041 漏洞被濫用。另一個被濫用的錯誤是聯發科芯片中的一個漏洞,被稱為 CVE-2020-0069,可能會影響數百萬台已售出的設備。負責創建 AbstractEmu 的網絡犯罪分子還為其配備了利用 CVE-2019-2215 和 CVE-2020-0041 漏洞利用公開可用代碼的能力。

AbstractEmu 的功能

如果部署到設備成功地,AbstractEmu 可以執行各種侵入性操作。首先,它會收集有關受感染設備的信息,包括製造商、型號、版本、IP 地址、MAC 地址、威脅獲得的權限、帳戶信息等。收集到的數據將被傳輸到命令和控制(C2,C&C)服務器,之後 AbstractEmu 將潛伏在設備上等待進一步的命令。

惡意軟件的根狀態允許黑客做幾乎任何他們想做的事情。可以指示威脅收集選定的文件、獲取包括姓名和號碼在內的聯繫信息、跟踪設備的位置、獲取和部署其他惡意負載等。