AbstractEmu Malware
AbstractEmu ist eine Android-Malware, die mit bedrohlichen Fähigkeiten ausgestattet ist, die es ihr ermöglichen, die volle Kontrolle über die infizierten Geräte zu übernehmen. Die Bedrohung wurde erstmals von infosec-Forschern der Lookout Threat Labs aufgedeckt. Bisher wurden über ein Dutzend waffenbasierte Anwendungen identifiziert, die AbstractEmu verbreiten. Diese Anwendungen konnten ihre vermeintlichen Funktionen ausführen, um keinen Verdacht zu erregen. Einige von ihnen fungierten als Passwortmanager, Datensparer, Anwendungsstarter usw.
Die neunzehn bedrohlichen Utility-Anwendungen standen in mehreren renommierten App-Stores wie Google Play, Amazon Appstore, Aptoide, APKPure und dem Samsung Galaxy Store zum Download bereit. Nachdem Google auf die Bedrohung durch AbstractEmu aufmerksam wurde, löschte Google die Anwendungen von seiner Plattform. Dennoch hatte eine der dubiosen Anwendungen namens Lite Launcher, die vorgab, ein legitimer Anwendungsstarter zu sein, bereits über 10.000 Downloads erreicht, als sie entfernt wurde.
Technische Details
Die AbstractEmu-Malware ist eine weit verbreitete Bedrohung, die mit Root-Funktionen ausgestattet ist, was sie zu einer Seltenheit in der Malware-Landschaft macht, die sich in den letzten Jahren gebildet hat. Trotz fehlender ausgeklügelter Systeme, die oft in den bedrohlichen Tools fortgeschrittener APT-Gruppen zu finden sind, bleibt AbstractEmu eine effektive Bedrohung, die in dem Moment aktiviert wird, in dem Benutzer eine ihrer Anwendungen öffnen.
Um Root-Rechte zu erlangen, nutzt AbstractEmu zahlreiche Schwachstellen aus. Tatsächlich ist dies das erste Mal, dass der CVE-2020-0041-Exploit in einer Live-Kampagne missbraucht wurde. Ein weiterer missbrauchter Fehler ist eine Schwachstelle in MediaTek-Chips, die als CVE-2020-0069 verfolgt wird und potenziell Millionen verkaufter Geräte betreffen könnte. Die Cyberkriminellen, die für die Erstellung von AbstractEmu verantwortlich sind, haben es auch mit der Fähigkeit ausgestattet, öffentlich zugänglichen Code auszunutzen, der die Exploits CVE-2019-2215 und CVE-2020-0041 ausnutzt.
AbstractEmu Funktionalität
Wenn auf dem Gerät erfolgreich bereitgestellt kann AbstractEmu eine Vielzahl von aufdringlichen Aktionen ausführen. Zuerst werden Informationen über das kompromittierte Gerät gesammelt, einschließlich Hersteller, Modell, Version, IP-Adresse, MAC-Adresse, die durch die Bedrohung erlangten Berechtigungen, Kontoinformationen und mehr. Die gesammelten Daten werden an den Command-and-Control (C2, C&C) Server übertragen, woraufhin AbstractEmu auf dem Gerät lauert und auf weitere Befehle wartet.
Der Root-Status der Malware ermöglicht es den Hackern, fast alles zu tun, was sie wollen. Die Bedrohung kann angewiesen werden, ausgewählte Dateien zu sammeln, Kontaktinformationen einschließlich Namen und Nummern zu erhalten, den Standort des Geräts zu verfolgen, zusätzliche bösartige Nutzlasten abzurufen und bereitzustellen und vieles mehr.
