AbstractEmu: nuevo malware de Android que puede rootear dispositivos infectados

Iniciado por AXCESS, Octubre 28, 2021, 03:09:17 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores de seguridad de Lookout Threat Labs han descubierto un nuevo malware de Android, denominado AbstractEmu, con capacidades de enraizamiento que se distribuye en Google Play y tiendas de terceros prominentes (es decir, Amazon Appstore y Samsung Galaxy Store).

"Llamamos al malware" AbstractEmu "por su uso de abstracción de código y comprobaciones anti-emulación para evitar que se ejecute mientras se analiza. Se descubrieron un total de 19 aplicaciones relacionadas, siete de las cuales contienen funcionalidad de enraizamiento, incluida una en Play que tenía más de 10,000 descargas ".

Los expertos descubrieron 19 aplicaciones de utilidad que contenían el código malicioso que se distribuyeron a través de Google Play y tiendas de aplicaciones de terceros. Algunas de estas aplicaciones tenían miles de descargas.

Google eliminó rápidamente las aplicaciones contaminadas de su tienda después de que Lookout compartiera sus hallazgos.

Los expertos señalaron que rootear malware es raro y peligroso, pueden permitir que los atacantes obtengan acceso de root al dispositivo y realicen actividades maliciosas sin la interacción del usuario.

Los expertos especulan que AbstractEmu fue desarrollado por un grupo con buenos recursos y motivación financiera. Sus técnicas de evasión y base de código utilizadas por los actores de amenazas son bastante sofisticadas.

"AbstractEmu no explota exploits remotos de cero clic, sino que explota vulnerabilidades muy contemporáneas (CVE-2020-0041, CVE-2020-0069, CVE-2019-2215 y CVE-2020-0041) de 2019 y 2020 para apuntar a las más grandes número de dispositivos posible".

Una vez instalado el malware AbstractEmu, comenzará a recopilar y enviar información del sistema a C2 mientras el malware espera más comandos.

Los expertos notaron que los amplios permisos otorgados a través del acceso raíz también otorgan a los atacantes permisos comunes utilizados por los troyanos bancarios para recibir cualquier código de autenticación de dos factores enviado por SMS, o ejecutar en segundo plano y lanzar ataques de phishing.

Algunos de los permisos obtenidos por el malware también permiten interacciones remotas con el dispositivo, como capturar contenido en la pantalla y acceder a servicios de accesibilidad, lo que permite a los atacantes interactuar con otras aplicaciones en el dispositivo. Los investigadores encontraron similitudes con las familias de malware Anatsa y Vultur.

"Rootear dispositivos Android o iOS con jailbreak siguen siendo las formas más invasivas de comprometer completamente un dispositivo móvil". concluye el informe que también incluye indicadores de compromiso (IoC).

Fuente:
Security Affairs
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta