Новая вредоносная программа AbstractEmu, заточенная под операционную систему Android, способна проводить рутинг заражённых мобильных устройств. В итоге зловред получает полный контроль над девайсом, а проверка эмуляторов и обфускация кода помогают ему уходить от детектирования антивирусными средствами.
На новый вредонос обратили внимание специалисты компании Lookout Threat Labs. По их словам, AbstractEmu распространяется через 19 приложений, размещённых как в официальном магазине Google Play Store, так и на сторонних площадках: Amazon Appstore, Samsung Galaxy Store, Aptoide и APKPure.
Такой софт маскируется под менеджеры паролей, инструменты для загрузки данных, лончеры. Причём все заявленные функциональные возможности действительно присутствуют, чтобы не вызывать у пользователя подозрений.
Например, приложение Lite Launcher, в котором содержался AbstractEmu, скачали более 10 тысяч пользователей в Google Play Store. К слову, из официального магазина зловред быстро удалили, а вот альтернативные площадки всё ещё распространяют этот софт.
«У AbstractEmu нет сложных механизмов эксплуатации 0-click или чего-то подобного. От этого вредоноса не стоит ждать сложных методов, он просто запускается самим пользователем», — пишут исследователи из Lookout.
«Поскольку авторы замаскировали вредонос под полезный софт, жертва, скорее всего, запустит его сразу после скачивания. Затем AbstractEmu отправит информацию командному серверу (C2) и будет ждать дополнительных приказов».
Чтобы провести рутинг заражённого Android-устройства, новая вредоносная программа использует сразу несколько эксплойтов, заточенных под разные уязвимости. В частности, фигурирует брешь под идентификатором CVE-2020-0041, которую до этого вообще никто не использовал. Также эксперты выявили попытки эксплуатации CVE-2019-2215 и CVE-2020-0041.
После рутинга AbstractEmu может мониторить уведомления, снимать скриншоты, записывать активность на экране и даже сбрасывать пароль устройства.
