無目的多渠道分發(fā) 影響17個(gè)國家/地區(qū)用戶

　　AbstractEmu已分布在Google Play和主要的第三方商店，包括亞馬遜應(yīng)用商店、三星Galaxy Store等。目前已發(fā)現(xiàn)19個(gè)相關(guān)應(yīng)用程序中包含該惡意軟件，7個(gè)包含root功能，其中一個(gè)名為Lite Launcher的應(yīng)用在Play上的下載量已過萬。為保護(hù)Android用戶安全，谷歌在收到Lookout通知后已經(jīng)刪除惡意程序，而其他應(yīng)用程序商店有可能仍在分發(fā)。

　　此外，Aptoide、APKPure和其他一些鮮為人知的應(yīng)用商店上也出現(xiàn)了它們的蹤跡。雖然大多數(shù)乃英文編寫，但Lookout也發(fā)現(xiàn)了一個(gè)使用越南語傳播的實(shí)例。目前一共有17個(gè)國家/地區(qū)的人受到AbstractEmu的影響，其中美國人民受到威脅最大。

　　在發(fā)現(xiàn)的19個(gè)與惡意軟件相關(guān)的應(yīng)用程序中，大多數(shù)應(yīng)用程序都偽裝成了常用&使用工具類用程序，比如文件、密碼管理器、應(yīng)用程序啟動(dòng)器等。

　　Lookout研究員表示，在過去5年，具備root權(quán)限的惡意軟件已很少見到。隨著 Android生態(tài)系統(tǒng)的成熟，能夠影響大量用戶設(shè)備的漏洞越來越少。

　　盡管比較罕見，但root惡意軟件是非常危險(xiǎn)的，它可以使用五種不同的已知安全漏洞在智能手機(jī)上獲得“root”權(quán)限，從而獲得比更強(qiáng)大的系統(tǒng)權(quán)限，進(jìn)而可以悄悄訪問用戶應(yīng)用程序里的敏感數(shù)據(jù)，也可以安裝其他惡意軟件。

　　誰是幕后黑手？

　　那么這些root惡意軟件的幕后黑手是誰？

　　雖然無法確切地說出這些幕后操作者，但Lookout分析到，首先他們是一群資源豐富且有經(jīng)濟(jì)動(dòng)機(jī)的團(tuán)隊(duì)，他們的代碼庫和規(guī)避技術(shù)非常復(fù)雜，例如使用刻錄機(jī)來記錄電子郵件、姓名、電話號(hào)碼和假名。其次，這些惡意軟件與銀行木馬之間有相似之處，例如他們的應(yīng)用程序分發(fā)和權(quán)限獲取是無針對(duì)性的。

　　AbstractEmu利用的漏洞類型也非常現(xiàn)代，多為2019年和2020年的一些漏洞，它們盡可能多地指向目標(biāo)用戶，例如其中一個(gè)利用漏洞是CVE-2020-0041，以前從未被惡意軟件利用；另一是CVE-2020-0069，這是在聯(lián)發(fā)科芯片中發(fā)現(xiàn)的漏洞，搭載該芯片的智能設(shè)備已暢銷數(shù)百萬臺(tái)。此外，他們還修改了 CVE-2019-2215和CVE-2020-0041的公開漏洞利用代碼，以支持獲取更多目標(biāo)。

　　AbstractEmu是如何作惡的？

　　AbstractEmu在作惡之前，會(huì)采取一系列措施對(duì)自己進(jìn)行不遺余力地“包裝”，從而避免被檢測(cè)到。其次，它的激活也非常容易，用戶打開即激活，由于它們偽裝地比較“成功”，很多用戶在下載后便會(huì)與它們進(jìn)行交互。

　　一旦應(yīng)用被激活后，AbstractEmu首先會(huì)對(duì)設(shè)備進(jìn)行真實(shí)與模擬檢測(cè)，一旦設(shè)備通過初始分析，應(yīng)用程序?qū)㈤_始通過HTTP與其命令和控制 （C2） 服務(wù)器通信，期望接收一系列JSON命令以執(zhí)行。每個(gè)應(yīng)用程序都包含它支持的硬編碼命令。為了決定執(zhí)行哪個(gè)命令，應(yīng)用程序會(huì)向C2服務(wù)器發(fā)送大量數(shù)據(jù)，包括它支持的命令，以及設(shè)備數(shù)據(jù)，例如設(shè)備制造商、型號(hào)、版本和序列號(hào)、電話號(hào)碼和 IP地址。

　　AbstractEmu 應(yīng)用程序向 C2 服務(wù)器發(fā)送的數(shù)據(jù)

　　上番操作之后，AbstractEmu操作員就可以給惡意軟件提供各種命令，例如獲得root權(quán)限、根據(jù)文件的新舊程度或匹配給定模式來收集和竊取文件，并安裝新的應(yīng)用程序。

　　從 AbstractEmu 的 C2 服務(wù)器發(fā)送的總共四種不同類型的 JSON 命令

　　AbstractEmu如何root Android設(shè)備

　　第一步則是獲取Android設(shè)備的root訪問權(quán)限，通過root設(shè)備，AbstractEmu 惡意軟件可以悄悄地與應(yīng)用程序進(jìn)行交互，修改應(yīng)用程序的一些默認(rèn)設(shè)置。

　　為確保能夠順利執(zhí)行root操作，惡意程序會(huì)嵌入到root生成和完成之后的隱藏編碼文件中——包括針對(duì)不同漏洞類型的二進(jìn)制文件。默認(rèn)情況下，這些二進(jìn)制文件會(huì)按指定順序執(zhí)行官，但AbstractEmu 的C2服務(wù)器可以更改執(zhí)行順序。

　　AbstractEmu惡意軟件默認(rèn)執(zhí)行的漏洞表

　　除了這些二進(jìn)制文件之外，這些應(yīng)用程序還包含三個(gè)編碼的shell腳本和兩個(gè)從 Magisk復(fù)制的編碼二進(jìn)制文件， Magisk是一種允許Android用戶在其設(shè)備上獲取root訪問權(quán)限的工具。

　　在設(shè)備遭到root后，AbstractEmu會(huì)跟蹤通知，截取屏幕和錄制視頻來阻止設(shè)備重置密碼。

　　Lookout研究人員表示，root Android或越獄iOS設(shè)備仍然是完全破壞移動(dòng)設(shè)備的最具侵入性的方式。

　　如何做好防護(hù)？

　　面對(duì)各種惡意程序跟木馬病毒侵襲，作為普通用戶該如何做好防護(hù)呢？首先，無論是Android還是iOS操作系統(tǒng)，用戶盡可能地升級(jí)到最新版本；其次，切勿對(duì)系統(tǒng)進(jìn)行“越獄”和“root”操作；第三，盡可能地在正規(guī)渠道下載各種APP，來路不明的鏈接切勿點(diǎn)擊。當(dāng)然，也歡迎大家留言獻(xiàn)計(jì)獻(xiàn)策。