Новое вредоносное ПО AbstractEmu коренит устройства Android, уклоняясь от обнаружения

50
Как запускать приложения и игры для Android в Linux

Новое вредоносное ПО для Android может внедрять зараженные устройства в root, чтобы получить полный контроль и незаметно изменять настройки системы, а также уклоняться от обнаружения с помощью абстракции кода и проверок на защиту от эмуляции.

Вредоносная программа, получившая название AbstractEmu от обнаруженных исследователями безопасности из Lookout Threat Labs, была связана с 19 служебными приложениями, распространяемыми через Google Play и сторонние магазины приложений (включая Amazon Appstore, Samsung Galaxy Store, Aptoide и APKPure).

Приложения, объединяющие вредоносное ПО, включали менеджеры паролей и инструменты, такие как средства сохранения данных и средства запуска приложений, и все они обеспечивали функциональность, которая обещала избежать подозрений.

Вредоносные приложения были удалены из Google Play Store после того, как Lookout сообщил об их обнаружении. Однако другие магазины приложений, вероятно, все еще распространяют их.

Lite Launcher, средство запуска приложений и одно из приложений, используемых для доставки вредоносного ПО AbstractEmu на устройства ничего не подозревающих пользователей Android, было загружено более 10 000 раз после удаления из Google Play.

«AbstractEmu не имеет сложной функциональности удаленного эксплойта с нулевым щелчком, используемой в сложных угрозах типа APT, она активируется просто пользователем, открывшим приложение», — заявили исследователи Lookout .

«Поскольку вредоносное ПО замаскировано под функциональные приложения, большинство пользователей, скорее всего, будут взаимодействовать с ними вскоре после загрузки».

После установки AbstractEmu начнет собирать и отправлять системную информацию на свой командно-управляющий (C2) сервер, пока вредоносная программа ожидает дальнейших команд.

Обновлены эксплойты для большего количества устройств Android

Для получения root-прав на зараженные устройства Android, AbstractEmu имеет в своем распоряжении несколько инструментов в виде эксплойтов, нацеленных на несколько уязвимостей, включая CVE-2020-0041 , ошибку, которая до этого никогда не использовалась приложениями Android.

Вредоносная программа также использует эксплойт CVE-2020-0069 для злоупотребления уязвимостью, обнаруженной в чипах MediaTek, используемых десятками производителей смартфонов, которые вместе продали миллионы устройств.

У злоумышленников, стоящих за AbstractEmu, также достаточно навыков и технических ноу-хау, чтобы добавить поддержку большего количества целей в общедоступный код для эксплойтов CVE-2019-2215 и CVE-2020-0041.

«Это важное открытие, поскольку за последние пять лет широко распространенные вредоносные программы с корневыми правами стали редкостью», — заявили исследователи Lookout .

«Используя процесс рутирования для получения привилегированного доступа к операционной системе Android, злоумышленник может незаметно предоставить себе опасные разрешения или установить дополнительные вредоносные программы — шаги, которые обычно требуют взаимодействия с пользователем».

AbstractEmu будет ждать команд от своего сервера C2, которые могут дать ему указание собирать и извлекать файлы в зависимости от того, насколько они новые или соответствуют заданному шаблону, корневым зараженным устройствам или установке новых приложений.

Дополнительные действия, которые AbstractEmu может выполнять после рутирования зараженного устройства, варьируются от отслеживания уведомлений, создания снимков экрана и записи экрана до блокировки устройства и даже сброса пароля устройства.

«Повышенные привилегии также дают вредоносному ПО доступ к конфиденциальным данным других приложений, что невозможно при нормальных обстоятельствах», — добавили исследователи.

Индикатор взлома и дополнительную техническую информацию, включая методы защиты от эмуляции и проверки устройств, можно найти в отчете Lookout.

Последнее обновление 10 месяцев назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии