Um agente de ameaça não identificado foi vinculado a uma nova cepa de malware Android que apresenta a capacidade de fazer root em smartphones e assumir o controle total sobre smartphones infectados, ao mesmo tempo em que toma medidas para evitar a detecção.
O malware foi chamado de “AbstractEmu” devido ao uso de abstração de código e verificações de antiemulação realizadas para impedir a análise desde o momento em que os aplicativos são abertos. Notavelmente, a campanha móvel global é projetada para atingir e infectar o maior número possível de dispositivos indiscriminadamente.
Pesquisadores disseram que encontraram um total de 19 aplicativos Android que se apresentavam como aplicativos utilitários e ferramentas de sistema, como gerenciadores de senhas, gerenciadores de dinheiro, inicializadores de aplicativos e aplicativos de economia de dados, sete dos quais continham a funcionalidade de root. Apenas um dos aplicativos desonestos, chamado Lite Launcher, chegou à Google Play Store oficial, atraindo um total de 10.000 downloads antes de ser eliminado.
Os aplicativos teriam sido distribuídos de forma proeminente por meio de lojas de terceiros, como a Amazon Appstore e a Samsung Galaxy Store, bem como outros mercados menos conhecidos como Aptoide e APKPure.
| Permissões arriscadas que concedem acesso: – Contatos – Logs – Mensagens SMS – GPS – Camera – Microfone | As configurações são modificadas para dar ao aplicativo a capacidade de: – Reiniciar a senha do dispositivo, ou bloquear o despositivo, através de um dispositivo admin – Instalar outros pacotes – Acessar serviços – Monitorar notificações – Capturar imagens – Gravar tela do dispositivo – Desabilitar a proteção do Google Play |
Embora raro, fazer o root de malware é muito perigoso. Ao usar o processo de root para obter acesso privilegiado ao sistema operacional Android, o agente da ameaça pode conceder a si mesmo permissões perigosas silenciosamente ou instalar malware adicional, pois são etapas que normalmente requerem interação do usuário, pesquisadores falaram: “Privilégios elevados também dão ao malware acesso a dados confidenciais de outros aplicativos, algo que não é possível em circunstâncias normais.”
Uma vez instalada, a cadeia de ataque é projetada para aproveitar uma das cinco explorações para falhas de segurança do Android mais antigas que permitiriam obter permissões de root e assumir o controle do dispositivo, extrair dados confidenciais e transmitir para um servidor controlado por ataque remoto –
- CVE-2015-3636 (PongPongRoot)
- CVE-2015-1805 (iovyroot)
- CVE-2019-2215 (Qu1ckr00t)
- CVE-2020-0041, and
- CVE-2020-0069
Pesquisadores atribuem a campanha de malware de enraizamento distribuída em massa a um “grupo com bons recursos e motivação financeira”, com dados de telemetria revelando que os usuários de dispositivos Android nos EUA foram os mais afetados. O objetivo final das infiltrações ainda não está claro.
“Enraizar dispositivos Android ou iOS ainda são as formas mais invasivas de comprometer totalmente um dispositivo móvel”, disseram os pesquisadores, acrescentando que “os dispositivos móveis são ferramentas perfeitas para os criminosos cibernéticos explorarem, pois têm inúmeras funcionalidades e contêm uma quantidade imensa de dispositivos sensíveis dados.”
REFERÊNCIAS:
https://thehackernews.com/2021/10/this-new-android-malware-can-gain-root.html
https://blog.lookout.com/lookout-discovers-global-rooting-malware-campaign