AbstractEmu Malware

AbstractEmu est un malware Android doté de capacités menaçantes qui lui permettent de prendre le contrôle total des appareils infectés. La menace a été découverte pour la première fois par les chercheurs d'infosec des Lookout Threat Labs. Jusqu'à présent, plus d'une douzaine d'applications armées diffusant AbstractEmu ont été identifiées. Ces applications ont pu exécuter leur fonction supposée pour éviter d'éveiller des soupçons. Certains d'entre eux ont joué le rôle de gestionnaires de mots de passe, d'économiseurs de données, de lanceurs d'applications, etc.

Les dix-neuf applications utilitaires menaçantes étaient disponibles au téléchargement sur plusieurs magasins d'applications réputés, tels que Google Play, Amazon Appstore, Aptoide, APKPure et le Samsung Galaxy Store. Après avoir pris conscience de la menace AbstractEmu, Google a purgé les applications de sa plate-forme. Pourtant, l'une des applications douteuses nommée Lite Launcher, prétendant être un lanceur d'applications légitime, avait déjà atteint plus de 10 000 téléchargements au moment de sa suppression.

Détails techniques

Le malware AbstractEmu est une menace largement distribuée dotée de capacités root, ce qui en fait une rareté dans le paysage des malwares qui s'est formé au cours des deux dernières années. Malgré l'absence des systèmes sophistiqués souvent présents dans les outils menaçants des groupes APT avancés, AbstractEmu reste une menace efficace qui s'active dès que les utilisateurs ouvrent l'une de ses applications.

Pour obtenir les privilèges root, AbstractEmu exploite de nombreuses vulnérabilités. En fait, c'est la première fois que l'exploit CVE-2020-0041 a été observé comme abusif dans une campagne en direct. Un autre bogue abusé est une vulnérabilité dans les puces MediaTek suivie comme CVE-2020-0069 qui pourrait potentiellement avoir un impact sur des millions d'appareils vendus. Les cybercriminels responsables de la création de AbstractEmu l'ont également doté de la capacité d'exploiter du code accessible au public qui tire parti des exploits CVE-2019-2215 et CVE-2020-0041.

Fonctionnalité de AbstractEmu

Si déployé sur l'appareilavec succès, AbstractEmu peut effectuer une grande variété d'actions intrusives. Tout d'abord, il recueillera des informations sur l'appareil compromis, notamment le fabricant, le modèle, la version, l'adresse IP, l'adresse MAC, les privilèges obtenus par la menace, les informations de compte, etc. Les données collectées seront transmises au serveur Command-and-Control (C2, C&C), après quoi AbstractEmu se cachera sur l'appareil en attendant d'autres commandes.

Le statut racine du malware permet aux pirates de faire presque tout ce qu'ils souhaitent. La menace peut être chargée de collecter les fichiers choisis, d'obtenir des informations de contact, notamment des noms et des numéros, de suivre l'emplacement de l'appareil, de récupérer et de déployer des charges utiles malveillantes supplémentaires, etc.