Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Редкий вредонос с правами суперпользователя атакует Android-устройства

29/10/21

Androhack2-3Исследователи безопасности ИБ-компании Lookout обнаружили новое вредоносное ПО для Android, способное получать на устройствах привилегии суперпользователя - функция, в последние годы редко встречающаяся у вредоносных программ для Android.

Вредоносное ПО, получившее название AbstractEmu, распространялось через 19 мобильных приложений из Amazon Appstore, Samsung Galaxy Store и неофициальных магазинов. Только одно из 19 приложений, Launcher, попало в Google Play, откуда оно было загружено только 10 тыс. раз.

Попав на устройство жертвы, AbstractEmu загружает и выполняет один из пяти эксплоитов для старых уязвимостей в Android, позволяющих получить привилегии суперпользователя: CVE-2020-0041, CVE-2020-0069, CVE-2019-2215, CVE-2015-3636 и CVE-2015-1805.

Повысив свои привилегии с помощью эксплоита, AbstractEmu получает доступ к опасным разрешениям, а затем получает доступ к дополнительным вредоносным компонентам на устройстве.

После заражения устройства вредонос собирает и отправляет на удаленный сервер следующие данные: сведения о телефоне (производитель, модель, версия, серийный номер), IP-адрес, Wi-Fi/Bluetooth и MAC-адреса, имя пакета приложения, полученные приложением разрешения, данные о SIM-карте (номер, оператор связи, IMEI), часовой пояс, данные учетной записи, идентификатор процесса приложения, номера поддерживаемых приложением команд, имя пакета установщика приложения и статус суперпользователя.

По словам исследователей, разработчиками AbstractEmu является "группа, обладающая большими ресурсами и преследующая финансовую выгоду".

Как пояснили в Lookout, было выбрано название AbstractEmu, поскольку вредонос использует абстракцию кода и анти-эмуляционную проверку, чтобы избежать запуска в песочнице и анализа ИБ-специалистами.

Темы:AndroidприложенияУгрозы
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...