“我就點一下,錢就沒了”,是的,手機在給我們帶來便利之余,也被漏洞、惡意軟體黑客緊緊盯上,近日,國外資訊安全公司Lookout Threat Labs研究發現一種名為AbstractEmu的新型root Android惡意軟體,Lookout 研究人員將它命名為“AbstractEmu”,因為它可以在使用代碼抽象和反仿真檢查逃避監測,
無目的多渠道分發 影響17個國家/地區用戶
AbstractEmu已分布在 、Google Play 和主要的第三方商店,包括亞馬遜應用商店、三星 Galaxy Store等,目前已發現19個相關應用程式員中包含該惡意軟體,其中7個包含root功能,其中一個名為Lite Launcher的應用在Play上的下載量已過萬,為保護Android用戶安全,谷歌在收到Lookout通知后已經洗掉惡意程式,而其他應用程式商店有可能仍在分發,
此外,Aptoide、APKPure 和其他一些鮮為人知的應用商店上也出現了它們的蹤跡,雖然大多數乃英文撰寫,但Lookout也發現了一個使用越南語傳播的實體,目前一共有17個國家/地區的人受到 AbstractEmu的影響,其中美國人民受到威脅最大,
在發現的 19 個與惡意軟體相關的應用程式中,大多數應用程式都偽裝成了常用&使用工具類用程式,比如檔案、密碼管理器、應用程式啟動器等,
Lookout 研究員表示,在過去5年,具備root權限的惡意軟體已很少見到,隨著 Android生態系統的成熟,能夠影響大量用戶設備的漏洞越來越少,
盡管比較罕見,但root惡意軟體是非常危險的,它可以使用五種不同的已知安全漏洞在智能手機上獲得“root”權限,從而獲得比更強大的系統權限,進而可以悄悄訪問用戶應用程式里的敏感資料,也可以安裝其他惡意軟體,
誰是幕后黑手?
那么這些root惡意軟體的幕后黑手是誰?
雖然無法確切地說出這些幕后操作者,但Lookout分析到,首先他們是一群資源豐富且有經濟動機的團隊,他們的代碼庫和規避技術非常復雜,例如使用刻錄機來記錄電子郵件、姓名、電話號碼和假名,其次,這些惡意軟體與銀行木馬之間有相似之處,例如他們的應用程式分發和權限獲取是無針對性的,
AbstractEmu 利用的漏洞型別也非常現代,多為2019年和2020年的一些漏洞,它們盡可能多地指向目標用戶,例如其中一個利用漏洞是CVE-2020-0041,以前從未被惡意軟體利用;另一是CVE-2020-0069,這是在聯發科芯片中發現的漏洞,搭載該芯片的智能設備已暢銷數百萬臺,此外,他們還修改了 CVE-2019-2215 和 CVE-2020-0041 的公開漏洞利用代碼,以支持獲取更多目標,
AbstractEmu 是如何作惡的?
AbstractEmu在作惡之前,會采取一系列措施對自己進行不遺余力地“包裝”,從而避免被檢測到,從最初感染手機到進行到第三階段,其次,它的激活也非常容易,用戶打開即激活,由于它們偽裝地比較“成功”,很多用戶在下載后便會與它們進行互動,
一旦應用被激活后,AbstractEmu首先會對設備進行真實與模擬檢測,一旦設備通過初始分析,應用程式將開始通過 HTTP 與其命令和控制 (C2) 服務器通信,期望接收一系列 JSON 命令以執行,每個應用程式都包含它支持的硬編碼命令,為了決定執行哪個命令,應用程式會向 C2 服務器發送大量資料,包括它支持的命令,以及設備資料,例如設備制造商、型號、版本和序列號、電話號碼和 IP地址,
上番操作之后,AbstractEmu 操作員就可以給惡意軟體提供各種命令,例如獲得root權限、根據檔案的新舊程度或匹配給定模式來收集和竊取檔案,并安裝新的應用程式,
AbstractEmu 如何root Android 設備
第一步則是獲取Android設備的root訪問權限,通過root 設備,AbstractEmu 惡意軟體可以悄悄地與應用程式進行互動,修改應用程式的一些默認設定,
為確保能夠順利執行root操作,惡意程式會嵌入到root生成和完成之后的隱藏編碼檔案中——包括針對不同漏洞型別的二進制檔案,默認情況下,這些二進制檔案會按指定順序執行官,但AbstractEmu 的C2服務器可以更改執行順序,
除了這些二進制檔案之外,這些應用程式還包含三個編碼的 shell 腳本和兩個從 Magisk 復制的編碼二進制檔案, Magisk 是一種允許 Android 用戶在其設備上獲取 root 訪問權限的工具,
在設備遭到root后,AbstractEmu會跟蹤通知,截取螢屏和錄制視頻來阻止設備重置密碼,
Lookout研究人員表示,root Android 或越獄 iOS 設備仍然是完全破壞移動設備的最具侵入性的方式,筆者在此也建議大家切勿安裝一些來路不明的APP,
更多詳情可以查看Lookout發布的詳細披露報告 https://blog.lookout.com/lookout-discovers-global-rooting-malware-campaign
轉載請註明出處,本文鏈接:https://www.uj5u.com/yidong/345795.html
標籤:其他
上一篇:大廠都在用的UI框架,《Android高級UI開源框架進階解密》,值得收藏的高級UI開源框架總結
下一篇:Android高級UI開源框架進階解密【附Loading、圖表、選單、日歷、圖片、文本、彈窗、懸浮窗、狀態欄、導航、布局等經典框架原始碼決議】