El nuevo malware de Android puede rootear los dispositivos infectados para tomar el control total y modificar silenciosamente la configuración del sistema, así como evadir la detección mediante la abstracción de código y las comprobaciones anti-emulación.
El malware, denominado AbstractEmu por los investigadores de seguridad de Lookout Threat Labs que lo encontraron, se incluyó con 19 aplicaciones de utilidad distribuidas a través de Google Play y tiendas de aplicaciones de terceros (incluidas Amazon Appstore, Samsung Galaxy Store, Aptoide y APKPure).
Las aplicaciones que agrupaban el malware incluían administradores de contraseñas y herramientas como ahorradores de datos y lanzadores de aplicaciones, todos ellos brindando la funcionalidad que prometieron para evitar levantar sospechas.
Las aplicaciones maliciosas se eliminaron de Google Play Store después de que Lookout informara sobre su descubrimiento. Sin embargo, es probable que las otras tiendas de aplicaciones sigan distribuyéndolas.
Lite Launcher, un lanzador de aplicaciones y una de las aplicaciones utilizadas para entregar el malware AbstractEmu en los dispositivos de los usuarios de Android desprevenidos, tuvo más de 10,000 descargas cuando se eliminó de Google Play.
“AbstractEmu no tiene ninguna funcionalidad sofisticada de explotación remota de cero clic utilizada en amenazas avanzadas de estilo APT, se activa simplemente por el usuario que ha abierto la aplicación”, dijeron los investigadores de Lookout .
“Como el malware se disfraza de aplicaciones funcionales, es probable que la mayoría de los usuarios interactúen con ellas poco después de la descarga”.
Una vez instalado, AbstractEmu comenzará a recopilar y enviar información del sistema a su servidor de comando y control (C2) mientras el malware espera más comandos.
Para rootear los dispositivos Android que infecta, AbstractEmu tiene múltiples herramientas a su disposición en forma de exploits dirigidos a varias vulnerabilidades, incluido CVE-2020-0041 , un error nunca explotado en la naturaleza por las aplicaciones de Android antes de esto.
El malware también utiliza un exploit CVE-2020-0069 para abusar de una vulnerabilidad que se encuentra en los chips MediaTek utilizados por docenas de fabricantes de teléfonos inteligentes que han vendido colectivamente millones de dispositivos.
Los actores de amenazas detrás de AbstractEmu también tienen suficientes habilidades y conocimientos técnicos para agregar soporte para más objetivos al código disponible públicamente para los exploits CVE-2019-2215 y CVE-2020-0041.
“Este es un descubrimiento significativo porque el malware ampliamente distribuido con capacidades de root se ha vuelto poco común en los últimos cinco años”, dijeron los investigadores de Lookout .
“Al utilizar el proceso de enraizamiento para obtener acceso privilegiado al sistema operativo Android, el actor de amenazas puede otorgarse silenciosamente permisos peligrosos o instalar malware adicional, pasos que normalmente requerirían la interacción del usuario”.
AbstractEmu esperará los comandos de su servidor C2, que puede indicarle que recolecte y exfiltre archivos en función de qué tan nuevos son o coinciden con un patrón dado, rootean dispositivos infectados o instalan nuevas aplicaciones.
Las acciones adicionales que AbstractEmu puede realizar después de rootear un dispositivo infectado van desde monitorear notificaciones, capturar capturas de pantalla y grabar la pantalla hasta bloquear el dispositivo e incluso restablecer la contraseña del dispositivo.
“Los privilegios elevados también le dan al malware acceso a los datos confidenciales de otras aplicaciones, algo que no es posible en circunstancias normales”, agregaron los investigadores.
El indicador de compromiso y la información técnica adicional, incluidas las técnicas de inspección de dispositivos y anti-emulación, se pueden encontrar en el informe de Lookout.