一个身份不明的威胁行为者与一种新的 Android 恶意软件有关,该软件的特点是能够对智能手机进行 root ,并完全控制受感染的智能手机,同时采取措施逃避检测。
该恶意软件被命名为“ Abstract Emu ”,因为它使用了代码抽象和反仿真检查,从应用程序被打开的那一刻起就阻碍了分析。值得注意的是,全球移动战役的设计目标和感染尽可能多的设备不分青红皂白。
Lookout Threat Labs 称,他们发现共有 19 个 Android 应用程序以实用程序和系统工具的形式出现,如密码管理器、资金管理器,应用程序启动器和数据保存应用程序,其中 7 个包含了生根功能。只有一款流氓应用 Lite Launcher 进入了 Google Play 官方商店,在被清除之前,它总共吸引了 1 万次下载。
据称,这些应用主要通过亚马逊 Appstore 和三星 Galaxy Store 等第三方商店,以及其他不太知名的市场,如 A pto ide 和 A PK Pure 进行分发。
“虽然很少,但恶意软件的生根是非常危险的。通过使用 rooting 过程获得对 Android 操作系统的特权访问,威胁参与者可以悄悄地授予自己危险的权限或安装额外的恶意软件——这些步骤通常需要用户交互,”Lookout 研究人员表示。“提升的权限还能让恶意软件获得其他应用的敏感数据,这在正常情况下是不可能的。”
一旦安装,攻击链的目的是利用五个漏洞之一的旧 Android 安全漏洞,这将允许它获得根权限和接管设备,提取敏感数据,并传输到远程攻击控制的服务器-
CVE - 2015 年- 3636 (PongPongRoot)
CVE - 2015 年至 1805(iovyroot)
CVE - 2019 - 2215 (Qu1ckr00t)
CVE - 2020 - 0041 and
CVE - 2020 - 0069
Lookout 将这场大规模的分布式恶意软件活动归因于一个“资源充足且有财务动机的组织”,遥测数据显示,美国的 Android 设备用户受到的影响最大。渗透的最终目的还不清楚。
研究人员表示:“ Android 或越狱 iOS 设备仍然是完全破坏移动设备的最具侵入性的方式。”他们补充说:“移动设备是网络犯罪分子利用的完美工具,因为它们有无数的功能,并持有大量的敏感数据。”