به گزارش موبوایران، یک عامل تهدید ناشناس با یک نوع بدافزار جدید اندروید مرتبط شده است که دارای قابلیت روت کردن و کنترل کامل گوشیهای آلوده و در عین حال اقداماتی برای فرار از شناسایی است.
این بدافزار به دلیل استفاده از code abstractionو بررسیهای ضد شبیهسازی برای خنثی کردن تجزیه و تحلیل درست از لحظه باز شدن برنامهها، AbstractEmu نامگذاری شده است.
Lookout Threat Labs گفت در مجموع 19 برنامه اندروید را پیدا کرده که به عنوان برنامه های کاربردی و ابزارهای سیستمی مانند مدیریت رمز عبور، مدیران پول، راه اندازی برنامه ها و برنامه های ذخیره داده ظاهر می شوند که هفت مورد از آنها دارای قابلیت روت کردن هستند. تنها یکی از برنامه ها به نام Lite Launcher به فروشگاه رسمی Google Play راه یافت و قبل از پاکسازی در مجموع 10000 بار دانلود شد.
گفته می شود که برنامه ها به طور برجسته از طریق فروشگاه های شخص ثالث مانند فروشگاه Appstore آمازون و فروشگاه گلکسی سامسونگ و همچنین سایر بازارهای کمتر شناخته شده مانند Aptoide و APKPure توزیع شده اند.
محققان Lookout می گوید: روت کردن بدافزار بسیار خطرناک است. عامل تهدید با استفاده از فرآیند روت کردن برای دسترسی به سیستم عامل اندروید، می تواند بی سر و صدا مجوزهای خطرناکی به خود بدهد یا بدافزار اضافی نصب کند؛ مراحلی که معمولاً نیاز به تعامل با کاربر دارند. امتیازات بالا همچنین به بدافزار امکان دسترسی به داده های حساس برنامه های دیگر را می دهد، چیزی که در شرایط عادی امکان پذیر نیست.
زنجیره حمله پس از نصب، به گونهای طراحی شده که از یکی از پنج سوء استفاده برای نقصهای امنیتی قدیمیتر اندروید استفاده کند که به آن اجازه میدهد مجوزهای ریشه را به دست آورد و دستگاه را تحت کنترل درآورد، دادههای حساس را استخراج کند و به سرور کنترل از راه دور حمله کند. این 5 مورد را در زیر می بینید:
CVE-2015-3636 (PongPongRoot)
CVE-2015-1805 (iovyroot)
CVE-2019-2215 (Qu1ckr00t)
CVE-2020-0041 و
CVE-2020-0069
کاربران دستگاههای اندروید در ایالات متحده بیشترین تأثیر را داشتهاند. هدف نهایی از نفوذ هنوز نامشخص است. محققان میگویند: «روت کردن دستگاههای اندروید یا jailbreaking آیفون هنوز تهاجمیترین راهها برای به خطر انداختن کامل یک دستگاه تلفن همراه است.