AbstractEmu, un nouveau malware caché dans des applications utilitaires sur Android

29 octobre 2021 à 15h30
0
android malware

Des chercheurs du Lookout Threat Lab ont découvert un nouveau malware , qu'ils ont appelé AbstractEmu.

Ce malware est présent dans des applications utilitaires dans le Google Play Store et d'autres magasins d'applications, et peut obtenir un accès root sur le téléphone infecté.

Plusieurs vulnérabilités exploitées par le malware

Des chercheurs du Lookout Threat Lab ont trouvé 19 nouvelles applications infectées dans le Google Play Store et d'autres magasins d'applications sur Android. Toutes ces applications contenaient un malware, nommé par les chercheurs AbstractEmu, particulièrement dangereux par sa capacité à obtenir un accès root sur un appareil infecté.

AbstractEmu se cache dans des applications utilitaires, comme des gestionnaires de mots de passe, de fichiers, des applications de gestion de budget et des lanceurs d'applications. L'une d'entre elles, et la seule à avoir été présente sur le magasin de Google, Lite Launcher, a été téléchargée plus de 10 000 fois. Toutes les applications fonctionnaient normalement du point de vue de l'utilisateur, pendant que le malware agissait discrètement. Il faut que l'application soit lancée au moins une fois pour activer le virus, qui attend des instructions de son serveur de commande et de contrôle. Ce dernier peut lui ordonner de récupérer des informations sur le système ou sur l'utilisateur, récupérer et modifier des fichiers et enfin, rooter l'appareil et installer une nouvelle application.

Pour pouvoir toucher un grand nombre de victimes, AbstractEmu contient des exploits pour cinq vulnérabilités, dont certaines datent de 2020 et 2019. Les plus notables sont la CVE-2020-0041, qui permettait une élévation des privilèges locale et qui n'a jamais été exploitée dans la nature auparavant, et la CVE-2020-0069, une vulnérabilité présente dans les puces MediaTek et qui touchait des millions d'appareils. Toutes ces vulnérabilités ont été corrigées, mais les smartphones Android ne reçoivent des mises à jour que pour un temps limité. Le malware exécute ces exploits dans un certain ordre, qui peut être changé à partir des informations récupérées auparavant, pour arriver jusqu'au rootage de l'appareil.

Des victimes présentes dans 17 pays

Une fois l'accès root obtenu, le malware installe une autre application qui obtient des permissions intrusives et récolte de nombreuses informations. Il peut également surveiller les notifications, prendre des captures d'écran, modifier le mot de passe de l'appareil ou avoir accès aux données sensibles d'autres applications.

Les chercheurs ne connaissent pas l'identité précise des acteurs malveillants, mais ont fait quelques déductions à partir des informations récupérées lors de l'analyse du malware. Ils pensent que le groupe possède beaucoup de ressources techniques, comme démontré par leurs modifications d'exploits publics afin de les rendre capables de viser plus de cibles, ou par leurs techniques pour éviter la détection. Ils semblent aussi motivés par un aspect financier, leur malware ressemblant énormément à un trojan bancaire. Les chercheurs n'ont pas réussi à déterminer leur objectif final à cause de la désactivation des endpoints permettant de récupérer le dernier payload.

Les victimes se trouvent principalement aux États-Unis, mais des utilisateurs dans 17 autres pays ont été touchés. Lite Launcher a été supprimée du Play Store, mais les autres applications continuent d'être disponibles dans des magasins d'applications tiers.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Lectures liées

Plusieurs montres connectées pour enfants présentent d’importants risques de sécurité
realme aura, lui aussi, son smartphone propulsé par un Snapdragon 8 Gen 1
Un iPhone SE 3 pour 2022 ? C'est bien ce qui semble se profiler
Le Xiaomi 12 sera le premier à profiter du Snapdragon 8 Gen1
Le Snapdragon 8 Gen1 officialisé : tous savoir sur le nouveau SoC haut de gamme de Qualcomm
Fairphone 4, téléphone réellement réparable ? iFixit a tranché
Le Honor 60 livre (déjà) tous ses secrets
Selon DxoMark, le realme GT Neo 2 serait le téléphone à choisir si la batterie est un critère de choix pour vous
Le realme GT2 Pro arrive et dévoile un design plutôt audacieux
De nouvelles fuites sur le Galaxy S22 Ultra laissent entrevoir sa fusion avec le Galaxy Note
Haut de page