Neznámy aktér hrozby bol spojený s novým kmeňom škodlivého softvéru pre Android, ktorý má schopnosť rootovať smartphones a prevziať úplnú kontrolu nad infikovanými smartphones a súčasne podniknúť kroky na obídenie detekcie.
Malvér bol nazvaný „AbstractEmu“ vďaka použitiu abstrakcie kódu a antiemulačných kontrol vykonaných na zmarenie analýzy hneď od okamihu otvorenia aplikácií. Je pozoruhodné, že globálna mobilná kampaň je navrhnutá tak, aby zacielila a infikovala čo najviac zariadení bez rozdielu.
Lookout Threat Labs uviedlo, že našlo celkovo 19 aplikácií pre Android, ktoré predstavujú pomocné aplikácie a systémové nástroje, ako sú správcovia hesiel, správcovia peňazí, spúšťače aplikácií a aplikácie na ukladanie údajov, z ktorých sedem obsahovalo funkciu rootovania. Iba jedna z nečestných aplikácií s názvom Lite Launcher sa dostala na oficiálne stránky Google Play Store, ktoré pred vymazaním prilákali celkovo 10 000 stiahnutí.
Hovorí sa, že aplikácie boli výrazne distribuované prostredníctvom obchodov tretích strán, ako je napr Amazon Appstore a Samsung Galaxy Obchod, ako aj iné menej známe trhoviská ako Aptoide a APKPure.
“Aj keď je zakorenenie malvéru zriedkavé, je veľmi nebezpečné. Použitím procesu zakorenenia na získanie privilegovaného prístupu k operačnému systému Android si aktér hrozby môže v tichosti udeliť nebezpečné povolenia alebo nainštalovať ďalší malvér – kroky, ktoré by za normálnych okolností vyžadovali interakciu používateľa,” výskumníci spoločnosti Lookout povedal. “Vyššie oprávnenia tiež umožňujú malvéru prístup k citlivým údajom iných aplikácií, čo za normálnych okolností nie je možné.”
Po nainštalovaní je reťazec útokov navrhnutý tak, aby využíval jednu z piatich exploitov pre staršie bezpečnostné chyby systému Android, čo by mu umožnilo získať oprávnenia root a prevziať kontrolu nad zariadením, extrahovať citlivé údaje a preniesť na vzdialený server kontrolovaný útokom —
Lookout pripísal masovú distribuovanú rootovaciu malvérovú kampaň „dobre zabezpečenej skupine s finančnou motiváciou“, pričom telemetrické údaje odhalili, že najviac zasiahnutí boli používatelia zariadení Android v USA. Konečný cieľ infiltrácií zostáva zatiaľ nejasný.
„Zakorenenie zariadení so systémom Android alebo útek z väzenia so systémom iOS sú stále najinvazívnejšími spôsobmi, ako úplne kompromitovať mobilné zariadenie,“ uviedli vedci a dodali, že „mobilné zariadenia sú dokonalými nástrojmi na zneužitie počítačovými zločincami, pretože majú nespočetné množstvo funkcií a obsahujú obrovské množstvo citlivých údaje.”
