AbstractEmu, el malware de enraizamiento propagado a nivel global

Los investigadores han descubierto una nueva campaña de malware de enraizamiento generalizada. El malware se llama AbstractEmu y llamó la atención debido al uso de algunas técnicas de evasión inteligentes.

AbstractEmu fue visto en Google Play y otras tiendas de aplicaciones, incluidas Amazon Appstore y Samsung Galaxy Store, por Lookout Threat Lab. Google fue notificado del problema, después de lo cual se eliminaron las aplicaciones.

Los atacantes están utilizando aplicaciones de apariencia legítima, como aplicaciones de servicios públicos, administradores de contraseñas, lanzadores de aplicaciones o ahorradores de datos, donde los usuarios se ven atraídos para que descarguen el malware.

Se descubrieron alrededor de 19 aplicaciones, de las cuales siete tenían funcionalidades de enraizamiento. También se descubrió que una aplicación en Google Play se descargó más de 10.000 veces.

El malware se activa cada vez que un usuario abre la aplicación troyana justo después de descargarla. Esta campaña aprovechó vulnerabilidades de 2019 y 2020, incluidas CVE-2020-0041 y CVE-2020-0069.

Tras la infección, el malware intenta obtener acceso de root en el dispositivo Android.

El informe sugiere que hay millones de dispositivos expuestos a estas vulnerabilidades.

El proceso de enraizamiento

Al rootear el dispositivo, AbstractEmu obtiene permisos para modificar silenciosamente el dispositivo sin la necesidad de interacción del usuario y acceder a los datos de otras aplicaciones en el dispositivo.

Para garantizar un proceso sin problemas, las aplicaciones están integradas con archivos ocultos y codificados (explotar binarios dirigidos a diferentes vulnerabilidades), que se utilizan durante y después del proceso de enraizamiento.

Además de estos binarios, las aplicaciones vienen con tres scripts de shell codificados, junto con dos binarios codificados copiados de la herramienta Magisk, que se emplean durante y después del proceso de enraizamiento.
Dos scripts de shell ejecutan el binario de explotación, obtienen la raíz y usan privilegios elevados para instalar componentes de Magisk para un mayor acceso de raíz.

Los componentes de Magisk recién instalados ejecutan un script de shell final que extrae un APK en un binario al dispositivo. Luego, el administrador de paquetes instala una nueva aplicación y le permite varios permisos intrusivos.