Tecnología

El nuevo malware AbstractEmu arraiga los dispositivos Android y evade la detección

El nuevo malware AbstractEmu arraiga los dispositivos Android y evade la detección

Imagen: Jon Hunter

El nuevo malware de Android puede rootear los dispositivos infectados para tomar el control completo y modificar silenciosamente la configuración del sistema, así como evadir la detección mediante la abstracción de código y las comprobaciones anti-emulación.

El malware, apodado ResumenEmu por los investigadores de seguridad de Lookout Threat Labs que lo encontraron, se incluyó con 19 aplicaciones de utilidad distribuidas a través de Google Play y tiendas de aplicaciones de terceros (incluidas Amazon Appstore, Samsung Galaxy Store, Aptoide y APKPure).

Las aplicaciones que agrupaban el malware incluían administradores de contraseñas y herramientas como ahorradores de datos y lanzadores de aplicaciones, todos ellos brindando la funcionalidad que prometieron para evitar levantar sospechas.

Las aplicaciones maliciosas se eliminaron de Google Play Store después de que Lookout informara sobre su descubrimiento. Sin embargo, es probable que las otras tiendas de aplicaciones sigan distribuyéndolas.

Lite Launcher, un lanzador de aplicaciones y una de las aplicaciones utilizadas para entregar el malware AbstractEmu en los dispositivos de los usuarios de Android desprevenidos, tuvo más de 10,000 descargas cuando se eliminó de Google Play.

«Abstract Emu no tiene ninguna funcionalidad sofisticada de explotación remota de cero clic utilizada en amenazas avanzadas de estilo APT, se activa simplemente por el usuario que ha abierto la aplicación», los investigadores de Lookout dijo.

«Como el malware se disfraza de aplicaciones funcionales, es probable que la mayoría de los usuarios interactúen con ellas poco después de la descarga».

Una vez instalado, AbstractEmu comenzará a recopilar y enviar información del sistema a su servidor de comando y control (C2) mientras el malware espera más comandos.

ResumenEmu recopiló información del sistema
Información del sistema recopilada por AbstractEmu (Lookout)

Exploits actualizados para apuntar a más dispositivos Android

Para rootear los dispositivos Android que infecta, AbstractEmu tiene múltiples herramientas a su disposición en forma de exploits dirigidos a varias vulnerabilidades, incluyendo CVE-2020-0041, un error nunca antes explotado en la naturaleza por las aplicaciones de Android.

El malware también utiliza un CVE-2020-0069 explotar para abusar de una vulnerabilidad encontrada en los chips MediaTek utilizados por docenas de fabricantes de smartphones que han vendido colectivamente millones de dispositivos.

Los actores de amenazas detrás de AbstractEmu también tienen suficientes habilidades y conocimientos técnicos para agregar soporte para más objetivos al código disponible públicamente para CVE-2019-2215 y exploits CVE-2020-0041.

«Este es un descubrimiento significativo porque el malware ampliamente distribuido con capacidades de root se ha vuelto poco común en los últimos cinco años», dijeron los investigadores de Lookout. dijo.

«Al utilizar el proceso de enraizamiento para obtener acceso privilegiado al sistema operativo Android, el actor de amenazas puede otorgarse silenciosamente permisos peligrosos o instalar malware adicional, pasos que normalmente requerirían la interacción del usuario».

Abstract Emu esperará los comandos de su servidor C2, que pueden indicarle que recolecte y extraiga archivos en función de qué tan nuevos son o coinciden con un patrón determinado, rootean dispositivos infectados o instalan nuevas aplicaciones.

Comandos AbstractEmu C2
Comandos AbstractEmu C2 (lookout)

Las acciones adicionales que Abstract Emu puede realizar después de rootear un dispositivo infectado van desde monitorear notificaciones, capturar capturas de pantalla y grabar la pantalla hasta bloquear el dispositivo e incluso restablecer la contraseña del dispositivo.

«Los privilegios elevados también le dan al malware acceso a los datos confidenciales de otras aplicaciones, algo que no es posible en circunstancias normales», agregaron los investigadores.

Puede encontrar un indicador de compromiso e información técnica adicional, incluidas las técnicas de inspección de dispositivos y anti-emulación el informe de vigilancia.

Leave a Comment

You may also like

Más