AbstractEmu обладает редкой функцией — способно получать на атакуемых устройствах привилегии суперпользователя.

Исследователи безопасности ИБ-компании Lookout обнаружили новое вредоносное ПО для Android, способное получать на устройствах привилегии суперпользователя — функция, в последние годы редко встречающаяся у вредоносных программ для Android.

Вредоносное ПО, получившее название AbstractEmu, распространялось через 19 мобильных приложений из Google Play, Amazon Appstore, Samsung Galaxy Store и неофициальных магазинов. Только одно из 19 приложений, Launcher, попало в Google Play, откуда оно было загружено только 10 тыс. раз.

Попав на устройство жертвы, AbstractEmu загружает и выполняет один из пяти эксплоитов для старых уязвимостей в Android, позволяющих получить привилегии суперпользователя: CVE-2020-0041, CVE-2020-0069, CVE-2019-2215, CVE-2015-3636 и CVE-2015-1805.

Повысив свои привилегии с помощью эксплоита, AbstractEmu получает доступ к опасным разрешениям, а затем получает доступ к дополнительным вредоносным компонентам на устройстве.

После заражения устройства вредонос собирает и отправляет на удаленный сервер следующие данные: сведения о телефоне (производитель, модель, версия, серийный номер), IP-адрес, Wi-Fi/Bluetooth и MAC-адреса, имя пакета приложения, полученные приложением разрешения, данные о SIM-карте (номер, оператор связи, IMEI), часовой пояс, данные учетной записи, идентификатор процесса приложения, номера поддерживаемых приложением команд, имя пакета установщика приложения и статус суперпользователя.

По словам исследователей, разработчиками AbstractEmu является "группа, обладающая большими ресурсами и преследующая финансовую выгоду".

Как пояснили в Lookout, было выбрано название AbstractEmu, поскольку вредонос использует абстракцию кода и анти-эмуляционную проверку, чтобы избежать запуска в песочнице и анализа ИБ-специалистами.

Попав на устройство жертвы, AbstractEmu загружает и выполняет один из пяти эксплоитов для старых уязвимостей в Android, позволяющих получить привилегии суперпользователя: CVE-2020-0041, CVE-2020-0069, CVE-2019-2215, CVE-2015-3636 и CVE-2015-1805.

Повысив свои привилегии с помощью эксплоита, AbstractEmu получает доступ к опасным разрешениям, а затем получает доступ к дополнительным вредоносным компонентам на устройстве.

После заражения устройства вредонос собирает и отправляет на удаленный сервер следующие данные: сведения о телефоне (производитель, модель, версия, серийный номер), IP-адрес, Wi-Fi/Bluetooth и MAC-адреса, имя пакета приложения, полученные приложением разрешения, данные о SIM-карте (номер, оператор связи, IMEI), часовой пояс, данные учетной записи, идентификатор процесса приложения, номера поддерживаемых приложением команд, имя пакета установщика приложения и статус суперпользователя.

По словам исследователей, разработчиками AbstractEmu является "группа, обладающая большими ресурсами и преследующая финансовую выгоду".

Источник: securitylab