code小生 一个专注大前端领域的技术平台
整理 | 梦依丹
出品 | CSDN(ID:CSDNnews)
近日,国外信息安全公司Lookout Threat Labs研究发现一种名为AbstractEmu的新型root Android恶意软件,Lookout研究人员将它命名为“AbstractEmu”,因为它可以在使用代码抽象和反仿真检查逃避监测。
此外,Aptoide、APKPure和其他一些鲜为人知的应用商店上也出现了它们的踪迹。虽然大多数乃英文编写,但Lookout也发现了一个使用越南语传播的实例。目前一共有17个国家/地区的人受到AbstractEmu的影响,其中美国人民受到威胁最大。
在发现的19个与恶意软件相关的应用程序中,大多数应用程序都伪装成了常用&使用工具类用程序,比如文件、密码管理器、应用程序启动器等。
Lookout研究员表示,在过去5年,具备root权限的恶意软件已很少见到。随着 Android生态系统的成熟,能够影响大量用户设备的漏洞越来越少。
尽管比较罕见,但root恶意软件是非常危险的,它可以使用五种不同的已知安全漏洞在智能手机上获得“root”权限,从而获得比更强大的系统权限,进而可以悄悄访问用户应用程序里的敏感数据,也可以安装其他恶意软件。
AbstractEmu是如何作恶的/strong>
AbstractEmu在作恶之前,会采取一系列措施对自己进行不遗余力地“包装”,从而避免被检测到。其次,它的激活也非常容易,用户打开即激活,由于它们伪装地比较“成功”,很多用户在下载后便会与它们进行交互。
一旦应用被激活后,AbstractEmu首先会对设备进行真实与模拟检测,一旦设备通过初始分析,应用程序将开始通过HTTP与其命令和控制 (C2) 服务器通信,期望接收一系列JSON命令以执行。每个应用程序都包含它支持的硬编码命令。为了决定执行哪个命令,应用程序会向C2服务器发送大量数据,包括它支持的命令,以及设备数据,例如设备制造商、型 、版本和序列 、电话 码和 IP地址。
从 AbstractEmu 的 C2 服务器发送的总共四种不同类型的 JSON 命令
AbstractEmu恶意软件默认执行的漏洞表
除了这些二进制文件之外,这些应用程序还包含三个编码的shell脚本和两个从 Magisk复制的编码二进制文件, Magisk是一种允许Android用户在其设备上获取root访问权限的工具。
在设备遭到root后,AbstractEmu会跟踪通知,截取屏幕和录制视频来阻止设备重置密码。
Lookout研究人员表示,root Android或越狱iOS设备仍然是完全破坏移动设备的最具侵入性的方式。
觉得不错,请点个在看呀
文章知识点与官方知识档案匹配,可进一步学习相关知识Java技能树首页概览91960 人正在系统学习中
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!