Một tác nhân đe dọa mới không xác định có liên quan đến một chủng phần mềm độc hại Android có khả năng root điện thoại thông minh và kiểm soát hoàn toàn điện thoại thông minh bị nhiễm virus trong khi đồng thời thực hiện các bước để tránh bị phát hiện.
Phần mềm độc hại mới đã được đặt tên là “AbstractEmu” do có khả năng sử dụng tính năng trừu tượng hóa mã và kiểm tra chống mô phỏng để tránh bị phát hiện khi đang chay phân tích. Đáng chú ý, malware độc hại này được thiết kế để nhắm mục tiêu người dùng và lây nhiễm vào nhiều thiết bị nhất có thể.
Ảnh : thehackernews |
Lookout Threat Labs cho biết họ đã tìm thấy tổng cộng 19 ứng dụng Android được coi là ứng dụng tiện ích và công cụ hệ thống như trình quản lý mật khẩu, trình quản lý tài chính, trình khởi chạy ứng dụng và ứng dụng tiết kiệm dữ liệu, bảy trong số đó có chức năng root. Và có một ứng dụng, được gọi là Lite Launcher, được đưa vào Cửa hàng Google Play chính thức, thu hút tổng cộng 10.000 lượt tải xuống trước khi bị xóa.
Danh sách 19 ứng dụng Android được cài Malware AbstractEmu
https://drive.google.com/file/d/1450-9zXa8dML3msybc9a5rK0bVm45USc/view
Các ứng dụng được cho là đã được phân phối nổi bật thông qua các cửa hàng của bên thứ ba như Amazon Appstore và Samsung Galaxy Store, cũng như các thị trường ít được biết đến khác như Aptoide và APKPure.
“Mặc dù hiếm gặp nhưng phần mềm độc hại root rất nguy hiểm. Bằng cách sử dụng quy trình root để có được quyền truy cập đặc quyền vào hệ điều hành Android, kẻ đe dọa có thể âm thầm cấp cho mình các quyền nguy hiểm hoặc cài đặt phần mềm độc hại bổ sung – các bước thường yêu cầu sự cho phép của người dùng”, các nhà nghiên cứu của Lookout nói. “Các đặc quyền nâng cao cũng cấp cho phần mềm độc hại quyền truy cập vào dữ liệu nhạy cảm của các ứng dụng khác, điều không thể xảy ra trong các trường hợp bình thường.”
Sau khi được cài đặt, các cuộc tấn công được thiết kế cho một trong năm lần khai thác các lỗi bảo mật Android cũ hơn cho phép nó có được quyền root và chiếm quyền điều khiển thiết bị, trích xuất dữ liệu nhạy cảm và truyền đến một máy chủ được điều khiển từ xa –
– CVE-2015-3636 (PongPongRoot)
– CVE-2015-1805 (iovyroot)
– CVE-2019-2215 (Qu1ckr00t)
– CVE-2020-0041 và
– CVE-2020-0069
Lookout đã cho rằng “nhóm có nguồn lực tốt cộng với tài chính”, với dữ liệu đo từ xa tiết lộ rằng người dùng thiết bị Android ở Hoa Kỳ bị ảnh hưởng nhiều nhất. Mục tiêu cuối cùng của các cuộc xâm nhập vẫn chưa rõ ràng.
Các nhà nghiên cứu cho biết: “Root thiết bị Android hoặc bẻ khóa thiết bị iOS vẫn là những cách xâm hại nhất để xâm phạm hoàn toàn thiết bị di động. dữ liệu.”