直接root Android设备,会「隐身」的恶意软件AbstractEmu正在偷偷作恶

最新推荐文章于 2022-02-09 10:47:33 发布
最新推荐文章于 2022-02-09 10:47:33 发布
阅读量5.5k 收藏 3
点赞数 8
分类专栏: 互联网资讯 文章标签: android abstractemu
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mengyidan/article/details/121103947
版权

“我就点一下,钱就没了”,是的,手机在给我们带来便利之余,也被漏洞、恶意软件黑客紧紧盯上。近日,国外信息安全公司Lookout Threat Labs研究发现一种名为AbstractEmu的新型root Android恶意软件,Lookout 研究人员将它命名为“AbstractEmu”,因为它可以在使用代码抽象和反仿真检查逃避监测。

无目的多渠道分发 影响17个国家/地区用户

AbstractEmu已分布在 Google Play 和主要的第三方商店,包括亚马逊应用商店、三星 Galaxy Store等。目前已发现19个相关应用程序员中包含该恶意软件,其中7个包含root功能,其中一个名为Lite Launcher的应用在Play上的下载量已过万。为保护Android用户安全,谷歌在收到Lookout通知后已经删除恶意程序,而其他应用程序商店有可能仍在分发。

在这里插入图片描述

此外,Aptoide、APKPure 和其他一些鲜为人知的应用商店上也出现了它们的踪迹。虽然大多数乃英文编写,但Lookout也发现了一个使用越南语传播的实例。目前一共有17个国家/地区的人受到 AbstractEmu的影响,其中美国人民受到威胁最大。

在发现的 19 个与恶意软件相关的应用程序中,大多数应用程序都伪装成了常用&使用工具类用程序,比如文件、密码管理器、应用程序启动器等。

Lookout 研究员表示,在过去5年,具备root权限的恶意软件已很少见到。随着 Android生态系统的成熟,能够影响大量用户设备的漏洞越来越少。

尽管比较罕见,但root恶意软件是非常危险的,它可以使用五种不同的已知安全漏洞在智能手机上获得“root”权限,从而获得比更强大的系统权限,进而可以悄悄访问用户应用程序里的敏感数据,也可以安装其他恶意软件。

谁是幕后黑手?

那么这些root恶意软件的幕后黑手是谁?

虽然无法确切地说出这些幕后操作者,但Lookout分析到,首先他们是一群资源丰富且有经济动机的团队,他们的代码库和规避技术非常复杂,例如使用刻录机来记录电子邮件、姓名、电话号码和假名。其次,这些恶意软件与银行木马之间有相似之处,例如他们的应用程序分发和权限获取是无针对性的。

AbstractEmu 利用的漏洞类型也非常现代,多为2019年和2020年的一些漏洞,它们尽可能多地指向目标用户,例如其中一个利用漏洞是CVE-2020-0041,以前从未被恶意软件利用;另一是CVE-2020-0069,这是在联发科芯片中发现的漏洞,搭载该芯片的智能设备已畅销数百万台。此外,他们还修改了 CVE-2019-2215 和 CVE-2020-0041 的公开漏洞利用代码,以支持获取更多目标。

AbstractEmu 是如何作恶的?

AbstractEmu在作恶之前,会采取一系列措施对自己进行不遗余力地“包装”,从而避免被检测到,从最初感染手机到进行到第三阶段。其次,它的激活也非常容易,用户打开即激活,由于它们伪装地比较“成功”,很多用户在下载后便会与它们进行交互。

一旦应用被激活后,AbstractEmu首先会对设备进行真实与模拟检测,一旦设备通过初始分析,应用程序将开始通过 HTTP 与其命令和控制 (C2) 服务器通信,期望接收一系列 JSON 命令以执行。每个应用程序都包含它支持的硬编码命令。为了决定执行哪个命令,应用程序会向 C2 服务器发送大量数据,包括它支持的命令,以及设备数据,例如设备制造商、型号、版本和序列号、电话号码和 IP地址。

在这里插入图片描述

AbstractEmu 应用程序向 C2 服务器发送的数据

上番操作之后,AbstractEmu 操作员就可以给恶意软件提供各种命令,例如获得root权限、根据文件的新旧程度或匹配给定模式来收集和窃取文件,并安装新的应用程序。
在这里插入图片描述

从 AbstractEmu 的 C2 服务器发送的总共四种不同类型的 JSON 命令

AbstractEmu 如何root Android 设备

第一步则是获取Android设备的root访问权限,通过root 设备,AbstractEmu 恶意软件可以悄悄地与应用程序进行交互,修改应用程序的一些默认设置。

为确保能够顺利执行root操作,恶意程序会嵌入到root生成和完成之后的隐藏编码文件中——包括针对不同漏洞类型的二进制文件。默认情况下,这些二进制文件会按指定顺序执行官,但AbstractEmu 的C2服务器可以更改执行顺序。
在这里插入图片描述

AbstractEmu恶意软件默认执行的漏洞表

除了这些二进制文件之外,这些应用程序还包含三个编码的 shell 脚本和两个从 Magisk 复制的编码二进制文件, Magisk 是一种允许 Android 用户在其设备上获取 root 访问权限的工具。

在设备遭到root后,AbstractEmu会跟踪通知,截取屏幕和录制视频来阻止设备重置密码。

Lookout研究人员表示,root Android 或越狱 iOS 设备仍然是完全破坏移动设备的最具侵入性的方式。笔者在此也建议大家切勿安装一些来路不明的APP。

更多详情可以查看Lookout发布的详细披露报告 https://blog.lookout.com/lookout-discovers-global-rooting-malware-campaign

不叫月红
关注
  • 8
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 11
    评论
专栏目录
Android 设备 Root 后必备的文件管理应用.rar
06-17
Android 设备 Root 后必备的文件管理应用
Day01 1.3 什么是Root设备
最新发布
Chimengmeng的博客
06-16 723
Day01 1.3 什么是Root设备 【一】什么是root ROOT是指获取安卓设备(手机或平板电脑)的超级用户权限,也被称为管理员或根用户权限。 通过Root手机,用户可以获得对操作系统的完全控制权限,可以访问和修改系统文件、安装自定义固件、运行需要Root权限的应用程序等。 Root权限的好处包括: 定制化: Root后,用户可以更深入地定制和个性化他们的设备,如更改主题、修改...
安卓设备如何ROOT?玩转ROOT,让你的安卓手机更强更好用
热门推荐
oray2013的专栏
01-20 5万+
曾经,在我们刚拿到一部新的安卓手机时,都第一时间选择进行ROOT,在前几年,ROOT可谓是引发了热潮;因为很多手机制造商,对用户修改操作系统进行限制,ROOT也是因此应运而生。 但是,安卓一直有安全性的疑虑。因此,对于很多人来说,root还是不root,这是一个问题。下面小编就来跟大家聊一聊什么是ROOT,以及安卓设备如何ROOT。 什么是ROOT? 简单来说,ROOT就是获取根权限,比如Window有两种类型的使用者,一个是Administrator(管理员),另一个是User(普通用户)。
android 客户端的授权,如何ROOT安卓设备并授权向日葵客户端(电脑端)
weixin_28941715的博客
05-31 1624
大家都知道,向日葵Android客户端想要正常被远控的话,需要具备两个前提条件:一:手机需获取ROOT权限;二:允许向日葵客户端获取ROOT权限。当设备已经ROOT但向日葵未获得ROOT权限时:5.0及以上的系统,提示:“向日葵未获得ROOT权限,仅支持观看”4.4系统,提示:“向日葵未获得ROOT权限,不支持观看与控制”下面将引导大家如何ROOT安卓手机,以及成功后如何授予向日葵ROOT的权限:...
root 恶意软件卷土重来!Google Play 及亚马逊、三星 Galaxy 等应用商店成“重灾区”...
weixin_38754349的博客
11-15 410
技术编辑:MissD丨发自 思否编辑部公众号:SegmentFault近日,Lookout Threat Lab 的安全研究人员发现了一种新型 root 恶意软件,包括 Google Pl...
Android 设备root 原理及方法
雪琴的博客
11-23 2175
1: Android 设备root 的含义是什么?     在linux中,登录系统后,需要输入用户名和密码,验证通过之后,用户登录shell,或得usserid和groupid,如果userid和groupid为root,表示此时的用户具备root权限;      在android中,开发板被root了,即表示用户可以通过某种方式得到root权限,可以以root的身份操控板子;
Android检查设备是否root的方法
01-21
Android开发中有时需要判断手机是否已经root,这个类就是全面检查Android设备是否root的工具类,Android开发中有时需要判断手机是否已经root,这个类就是全面检查Android设备是否root的工具类,Android开发中有时...
Android设备上非root的抓包实现方法(Tcpdump方法)
09-01
通常我们在Android应用中执行某个命令时使用“Runtime.getRuntime().exec("命令路径")”这种方式,但是当我们执行抓包操作时,使用这条命令无论如何都不行,通过下面代码打印结果发现,该命令一定要在root...
Android-root.rar_ROOT_android root_root android
09-24
android手机终端上面的root用户的命令合辑和用法
Android如何在root设备上开启ViewServer详解
01-20
前言 关于什么是Hierarchy Viewer,请查看官方文档:...但是在真机上并不能使用,Android的官方文档中提到:出于安全考虑,Hierarchy Viewer只能连接And
最强的ROOT工具
06-15
有强大的获取root 功能.功能很好使用方便
国外网站找的Root一加3手机Android7.0系统OxygenOS_v4.0.3 root工具
03-03
国外网站找的Root一加3手机Android7.0系统OxygenOS_v4.0.3 root工具。内有使用说明。轻松搞定
root安卓设备信息修改器
10-25
一款免费的安卓系统设备信息修改器,可用于账号注册养号
伊朗称以色列和美国可能是加油站网络攻击的幕后黑手、新型勒索软件或成为最大的新兴风险|11月1日全球网络安全热点
qcloud_security的博客
11-01 4142
安全资讯报告 美国TrickBot恶意软件开发者或将面临60年监禁 一名据信是TrickBot恶意软件开发团队成员的俄罗斯国民已被引渡到美国,目前面临可能使他入狱60年的指控。 起诉书称,38岁的Vladimir Dunaev,也被称为FFX,是一名恶意软件开发人员,负责监督TrickBot浏览器注入模块的创建。 他是第二位与司法部今年逮捕的TrickBot团伙有关的恶意软件开发者。2月,拉脱维亚国民Alla Witte,又名Max,因编写与勒索软件控制和部署相关的代码而...
全国程序员高考卷曝光,你能答对几题?
mengyidan的专栏
06-07 5万+
普通高等学校招生全国统一考试 程序员卷 1.本试卷分为单选题、简答题、编程题三种类型,选择题每天5分,简答题每天10分,编程题每题20分。 2.考试时间为30分钟; 3.全部答案请填写在本文评论区; 4.考试结束后,请将本试卷分享到CSDN APP Blink、朋友圈。 本文题目整理自网络 一、单选题 1.现在公认的世界上第一个女程序员是? A. Taylor swift B. Ada L...
Rust更适合经验较少的程序员?
mengyidan的专栏
10-08 1万+
随着 Rust被亚马逊、谷歌等大厂青睐,越来越多的开发者加入学习大军,但接触之后,不少人纷纷嗟叹,Rust 太难了。在2020年Rust调查报告中,当被问及为什么停止使用Rust时,有35%的开发者表示他们还没学,可能是因为没有时间,也可能是因为太难。 而近日 Reddit 上的一篇帖子引起了不少人讨论,不少开发者表示:Rust可能更适合那些编程经验较少的程序员,如果你有1、2年的编程经验,那么入门Rust更快一些。 yxonic的用户发帖表示:他一直认为自己喜欢Rust的原因来自于自己是一名经验丰富
Flink等多组件受影响,Apache Log4j曝史诗级漏洞
mengyidan的专栏
12-10 1万+
全球知名开源日志组件Apache Log4j 被曝存在严重高危险级别远程代码执行漏洞,攻击者可以利用该漏洞远程执行代码。 目前受漏洞影响的主要是Apache Log4j 2.x <= 2.14.1版本,当用户使用Apache Log4j2来处理日志时,漏洞对用户输入的内容进行特殊处理,攻击者便可以在Apache Log4j2 中构造特殊请求来触发远程代码执行。 如何判断是否受影响,开发者只需排查在Java应用中是否引入 log4j-api , log4j-core 两个jar文件,若存在,建议立即
TIOBE 2月编程语言排行榜出炉:Python遥遥领先C语言
mengyidan的专栏
02-09 1万+
在上个月,Python再次摘得年度编程语言宝座,这是Python第五次获得这个奖,其他四次分别是2007年、2010年、2018年和2020年。那么在2月份,各大编程语言又有哪些新变化呢? 一直以来,TIOBE都使用Alexa网络流量排名引擎来作为重要的排名的指数,但在去年12月份,Alexa宣布将在2022年5月1日正式停服。基于此,TIOBE也不得不做出改变,Similarweb接棒Alexa成为TIOBE默认的流量引擎。让人庆幸地是,更换后的排名并无太大变化,但前3名编程语言,即Python、C和Ja
看后视镜扣钱?AI 摄像头监控下的货车司机
mengyidan的专栏
09-29 1万+
生活在科技领先时代的我们,每天无不被算法支配着,从衣食住行到工作中的点点滴滴,甚至很多决策都需要参考算法数据。以前在电影中见到的场景,越来越现实化。 在AI算法不断优化地前提下,有些企业直接通过AI来给员工打绩效,监视员工的工作效率。例如亚马逊通过 AI 系统来判定物流仓储员工的工作效率,统计他们的每天上班摸鱼时间,当被系统判定效率低下后,AI自动发送解雇指令。一家俄罗斯在线支付服务公司 Xsolla 则使用算法解雇了 147 名员工,理由则是公司所使用的算法判断这些员工“不敬业、效率低下”。 近日,亚马
android投屏软件点击事件转化为Android设备上的触屏事件原理
06-08
需要注意的是,投屏软件需要在Android设备获取Root权限才能够模拟输入事件,因此使用这种方式实现点击可能设备安全造成一定的风险。同时,投屏软件的性能和稳定性也直接影响到使用体验。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值