Un actor de amenazas no identificado se ha vinculado a una nueva cepa de malware de Android que presenta la capacidad de rootear teléfonos inteligentes y tomar un control completo sobre los teléfonos inteligentes infectados mientras simultáneamente toma medidas para evadir la detección.
El malware se ha denominado » AbstractEmu » debido a su uso de abstracción de código y comprobaciones anti-emulación para evitar su ejecución durante el análisis. En particular, la campaña móvil global está diseñada para dirigirse a los usuarios e infectar tantos dispositivos como sea posible de forma indiscriminada.
Lookout Threat Labs dijo que encontró un total de 19 aplicaciones de Android que se hicieron pasar por aplicaciones de utilidad y herramientas del sistema como administradores de contraseñas, administradores de dinero, lanzadores de aplicaciones y aplicaciones para guardar datos, siete de las cuales contenían la funcionalidad de enraizamiento. Solo una de las aplicaciones fraudulentas, llamada Lite Launcher, llegó a la tienda oficial de Google Play, atrayendo un total de 10,000 descargas antes de ser depurada.
Se dice que las aplicaciones se distribuyeron de manera destacada a través de tiendas de terceros como Amazon Appstore y Samsung Galaxy Store, así como otros mercados menos conocidos como Aptoide y APKPure.
«Si bien es poco común, el malware de enraizamiento es muy peligroso. Al utilizar el proceso de enraizamiento para obtener acceso privilegiado al sistema operativo Android, el actor de amenazas puede otorgarse silenciosamente permisos peligrosos o instalar malware adicional, pasos que normalmente requerirían la interacción del usuario», afirman los investigadores de Lookout. dijo. «Los privilegios elevados también dan acceso al malware a los datos confidenciales de otras aplicaciones, algo que no es posible en circunstancias normales».
Una vez instalada, la cadena de ataque está diseñada para uno de los cinco exploits para fallas de seguridad de Android más antiguas que le permitirían obtener permisos de root y hacerse cargo del dispositivo, extraer datos confidenciales y transmitirlos a un servidor remoto controlado por ataques.
- CVE-2015-3636 (PongPongRoot)
- CVE-2015-1805 (iovyroot)
- CVE-2019-2215 (Qu1ckr00t)
- CVE-2020-0041 y
- CVE-2020-0069
Lookout atribuyó la campaña de malware de enraizamiento distribuido masivamente a un «grupo con buenos recursos y motivación financiera», y los datos de telemetría revelaron que los usuarios de dispositivos Android en los EE. UU. Fueron los más afectados. El objetivo final de las infiltraciones aún no está claro.
«Rootear Android o dispositivos iOS con jailbreak siguen siendo las formas más invasivas de comprometer completamente un dispositivo móvil», dijeron los investigadores, y agregaron que «los dispositivos móviles son herramientas perfectas para que los ciberdelincuentes exploten, ya que tienen innumerables funcionalidades y contienen una inmensa cantidad de información sensible datos.»
