AbstractEmu Malware

AbstractEmu es un malware de Android equipado con capacidades amenazantes que le permiten tomar el control total sobre los dispositivos infectados. La amenaza fue descubierta por primera vez por investigadores de seguridad de datos en los laboratorios de amenazas Lookout. Hasta ahora, se han identificado más de una docena de aplicaciones armadas que difunden AbstractEmu. Estas aplicaciones pudieron realizar su supuesta funcionalidad para no levantar sospechas. Algunos de ellos actuaron como administradores de contraseñas, ahorradores de datos, lanzadores de aplicaciones, etc.

Las diecinueve aplicaciones de utilidad amenazantes estaban disponibles para su descarga en varias tiendas de aplicaciones de renombre, como Google Play, Amazon Appstore, Aptoide, APKPure y Samsung Galaxy Store. Después de darse cuenta de la amenaza AbstractEmu, Google eliminó las aplicaciones de su plataforma. Aún así, una de las aplicaciones dudosas llamada Lite Launcher, que pretende ser un lanzador de aplicaciones legítimo, ya había alcanzado más de 10, 000 descargas cuando se eliminó.

Detalles técnicos

El malware AbstractEmu es una amenaza ampliamente distribuida equipada con capacidades de root, por lo que es una rareza en el panorama del malware que se ha formado en los últimos años. A pesar de carecer de los sistemas sofisticados que a menudo se encuentran en las herramientas amenazantes de los grupos APT avanzados, AbstractEmu sigue siendo una amenaza eficaz que se activa en el momento en que los usuarios abren cualquiera de sus aplicaciones.

Para obtener privilegios de root, AbstractEmu explota numerosas vulnerabilidades. De hecho, esta es la primera vez que se observa que se abusa del exploit CVE-2020-0041 en una campaña en vivo. Otro error abusado es una vulnerabilidad en los chips MediaTek rastreados como CVE-2020-0069 que potencialmente podría afectar a millones de dispositivos vendidos. Los ciberdelincuentes responsables de crear AbstractEmu también lo han equipado con la capacidad de explotar código disponible públicamente que aprovecha los exploits CVE-2019-2215 y CVE-2020-0041.

Funcionalidad de AbstractEmu

Si se implementa en el dispositivocon éxito, AbstractEmu puede realizar una amplia variedad de acciones intrusivas. Primero, recopilará información sobre el dispositivo comprometido, incluido el fabricante, el modelo, la versión, la dirección IP, la dirección MAC, los privilegios obtenidos por la amenaza, la información de la cuenta y más. Los datos recopilados se transmitirán al servidor de Comando y Control (C2, C&C), después de lo cual AbstractEmu estará al acecho en el dispositivo esperando más comandos.

El estado raíz del malware permite a los piratas informáticos hacer casi cualquier cosa que deseen. Se puede indicar a la amenaza que recopile archivos seleccionados, obtenga información de contacto, incluidos nombres y números, rastree la ubicación del dispositivo, busque e implemente cargas útiles maliciosas adicionales y más.