AbstractEmuマルウェア

AbstractEmuは、感染したデバイスを完全に制御できる脅威機能を備えたAndroidマルウェアです。この脅威は、Lookout ThreatLabsのinfosec研究者によって最初に発見されました。これまでに、AbstractEmuを広める12を超える兵器化されたアプリケーションが特定されています。これらのアプリケーションは、疑惑を提起することを回避するために、想定される機能を実行することができました。それらのいくつかは、パスワードマネージャー、データセーバー、アプリケーションランチャーなどとして機能しました。

19の脅威となるユーティリティアプリケーションは、Google Play、Amazon Appstore、Aptoide、APKPure、Samsung GalaxyStoreなどの評判の良い複数のアプリストアからダウンロードできました。 AbstractEmuの脅威に気付いた後、Googleはプラットフォームからアプリケーションを削除しました。それでも、正規のアプリケーションランチャーを装ったLite Launcherという名前の疑わしいアプリケーションの1つは、削除されるまでにすでに10,000回を超えるダウンロードに達しています。

技術的な詳細

AbstractEmuマルウェアは、ルート機能を備えた広く配布されている脅威であり、過去2年間に形成されたマルウェアの状況では珍しいものになっています。高度なAPTグループの脅威ツールによく見られる高度なシステムが不足しているにもかかわらず、AbstractEmuは、ユーザーがアプリケーションを開いた瞬間にアクティブ化する効果的な脅威であり続けます。

ルート権限を取得するために、AbstractEmuは多数の脆弱性を悪用します。実際、CVE-2020-0041エクスプロイトがライブキャンペーンで悪用されていることが確認されたのはこれが初めてです。もう1つの悪用されたバグは、CVE-2020-0069として追跡されるMediaTekチップの脆弱性であり、販売された何百万ものデバイスに影響を与える可能性があります。 AbstractEmuの作成を担当するサイバー犯罪者は、CVE-2019-2215およびCVE-2020-0041のエクスプロイトを利用する公開されているコードを悪用する機能も備えています。

AbstractEmuの機能

デバイスにデプロイされている場合AbstractEmuは、さまざまな侵入アクションを正常に実行できます。まず、製造元、モデル、バージョン、IPアドレス、MACアドレス、脅威によって取得された特権、アカウント情報など、侵害されたデバイスに関する情報を収集します。収集されたデータはコマンドアンドコントロール（C2、C＆C）サーバーに送信され、その後、AbstractEmuはデバイスに潜んで次のコマンドを待ちます。

マルウェアのルートステータスにより、ハッカーはほとんど何でもやりたいことができます。脅威は、選択されたファイルの収集、名前や番号などの連絡先情報の取得、デバイスの場所の追跡、追加の悪意のあるペイロードのフェッチと展開などを指示できます。