5 novembre 2021

Abstractemu, le nouveau malware Android permettant d’avoir un accès root à un téléphone

Introduction

Un nouveau malware vient de faire son apparition sur Android permettant à un attaquant d’avoir un accès root sur un téléphone Android. Il se prénomme « Abstractemu » en raison de son utilisation de l’abstraction de code et des contrôles anti-émulation entrepris pour déjouer l’analyse dès l’ouverture des applications. L’entreprise Lookout Threat Labs a reporté un total de 19 applications qui seraient impactées par ce malware. La liste ci-dessous répertorie les applications contenant le plus de téléchargement :

  • All Passwords, com.mobilesoft.security.password
  • Anti-ads Browser, com.zooitlab.antiadsbrowser
  • Data Saver, com.smarttool.backup.smscontacts
  • Lite Launcher, com.st.launcher.lite
  • My Phone, com.dentonix.myphone
  • Night Light, com.nightlight.app
  • Phone Plus, com.phoneplusapp

Il est possible de trouver une sélection plus exhaustive en cliquant ici.

Comment le malware fonctionne-t-il ?

Une fois installé sur le périphérique, le malware va tenter d’exécuter l’un des cinq exploits ci-dessous affectant d’anciennes failles de sécurité Android afin d’obtenir les droits root sur le périphérique :

Une fois les droits root obtenus sur le périphérique, un logiciel espion va être installé et déguisé en gestionnaire de stockage appelé « Setting Storage ». Ce dernier dispose d’un accès aux contacts, aux journaux d’appels, aux SMS, à la localisation, à la caméra ainsi qu’au microphone.

Ce dernier peut ainsi réinitialiser le mot de passe de l’appareil, verrouiller l’appareil, installer des applications malveillantes, réaliser des captures d’écran, afficher des notifications, enregistrer l’activité de l’écran désactiver Google Play Protect, etc.

L’objectif final de la campagne du logiciel malveillant n’est pas encore connu, car son serveur de commande et de contrôle (C&C) s’est déconnecté avant que les chercheurs de Lookout ne soient en mesure de capturer la charge utile finale.

Conclusion

Pour se protéger contre ce malware, plusieurs possibilités s’offrent à vous, notamment :

  • Vérfier s’il s’agit bien des mêmes applications. Pour se faire, il suffit de comparer le condensat SHA1 du fichier « apk » de l’application légitime avec ceux d’AbstractEmu
  • Rechercher si l’application est disponible via la boutique d’applications sur un navigateur de bureau. Si elle n’est plus disponible, supprimez-la.
  • Mettre à jour votre téléphone Android dès que possible. En effet, les vulnérabilités citez précédemment ont été corrigées à partir de la mise à jour officielle de sécurité Android de mars 2020.

 

Références

https://www.tomsguide.com/news/abstract-emu-android-malware

https://thehackernews.com/2021/10/this-new-android-malware-can-gain-root.html

https://www.securityweek.com/tens-thousands-download-abstractemu-android-rooting-malware

5 novembre 2021 CERT

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *