Un nouveau rapport de Lookout mentionne un nouveau malware qui a fait son chemin vers les magasins d’applications Android, il s’appelle « AbstractEmu ». Ce malware n’est pas seulement apparu sur le Google Play Store, mais aussi sur Amazon Appstore et le Samsung Galaxy Store, entre autres.

Des chercheurs du Lookout Threat Lab ont découvert un nouveau malware , qu'ils ont appelé AbstractEmu.

Un nouveau logiciel malveillant Android peut créer une racine sur les appareils infectés pour en prendre le contrôle total et modifier silencieusement les paramètres du système. Il peut également échapper à la détection grâce à l'abstraction de code et aux contrôles anti-émulation.

Le malware, baptisé AbstractEmu par les chercheurs en sécurité de Lookout Threat Labs qui l'ont découvert, était associé à 19 applications utilitaires distribuées via Google Play et des magasins d'applications tiers (dont Amazon Appstore, Samsung Galaxy Store, Aptoide et APKPure).

Les applications contenant les logiciels malveillants comprenaient des gestionnaires de mots de passe et des outils tels que des économiseurs de données et des lanceurs d'applications, tous fournissant les fonctionnalités promises pour ne pas éveiller les soupçons.

Les applications malveillantes ont été supprimées du Google Play Store après que Lookout a signalé leur découverte. Cependant, il est probable que les autres magasins d'applications les distribuent encore.

Lite Launcher, un lanceur d'applications et l'une des applications utilisées pour diffuser le malware AbstractEmu sur des appareils Android d'utilisateurs peu méfiants, comptait plus de 10 000 téléchargements lorsqu'il a été retiré de Google Play.

"AbstractEmu ne dispose d'aucune fonctionnalité sophistiquée d'exploitation à distance en zéro clic utilisée dans les menaces avancées de type APT, il est activé simplement par l'ouverture de l'application par l'utilisateur", ont déclaré les chercheurs de Lookout.

"Comme les logiciels malveillants sont déguisés en applications fonctionnelles, la plupart des utilisateurs interagiront probablement avec eux peu après le téléchargement."

Une fois installé, AbstractEmu commence à récolter et à envoyer des informations système à son serveur de commande et de contrôle (C2), tandis que le malware attend d'autres commandes.

System info collected by AbstractEmu (Lookout)

Des exploits mis à jour pour cibler davantage d'appareils Android

Pour déraciner les appareils Android qu'il infecte, AbstractEmu dispose de plusieurs outils sous la forme d'exploits ciblant plusieurs vulnérabilités, dont CVE-2020-0041, un bug jamais exploité dans la nature par des applications Android auparavant.

Le malware utilise également un exploit CVE-2020-0069 pour exploiter une vulnérabilité trouvée dans les puces MediaTek utilisées par des dizaines de fabricants de smartphones qui ont collectivement vendu des millions d'appareils.

Les acteurs de la menace derrière AbstractEmu ont également suffisamment de compétences et de savoir-faire technique pour ajouter la prise en charge d'un plus grand nombre de cibles au code publiquement disponible pour les exploits CVE-2019-2215 et CVE-2020-0041.

"Il s'agit d'une découverte importante car les logiciels malveillants largement distribués avec des capacités d'enracinement sont devenus rares au cours des cinq dernières années", ont déclaré les chercheurs de Lookout.

"En utilisant le processus d'enracinement pour obtenir un accès privilégié au système d'exploitation Android, l'acteur de la menace peut s'accorder silencieusement des autorisations dangereuses ou installer des logiciels malveillants supplémentaires - des étapes qui nécessiteraient normalement l'interaction de l'utilisateur."

AbstractEmu attend les commandes de son serveur C2, qui peut lui ordonner de récolter et d'exfiltrer des fichiers en fonction de leur nouveauté ou de leur conformité à un modèle donné, d'enraciner les appareils infectés ou d'installer de nouvelles applications.

AbstractEmu C2 commands (Lookout)

Les actions supplémentaires qu'AbstractEmu peut effectuer après l'enracinement d'un appareil infecté vont de la surveillance des notifications, la capture de captures d'écran et l'enregistrement de l'écran au verrouillage de l'appareil et même à la réinitialisation du mot de passe de l'appareil.

"Les privilèges élevés permettent également au malware d'accéder aux données sensibles d'autres applications, ce qui n'est pas possible dans des circonstances normales", ajoutent les chercheurs.

Les indicateurs de compromission et des informations techniques supplémentaires, notamment les techniques d'anti-émulation et d'inspection des appareils, sont disponibles dans le rapport de Lookout.

source SLM

Comment supprimer un malware de votre appareil Android ?

1. Éteignez le téléphone et redémarrez-le en mode sans échec. ...

2. Désinstallez l'application suspecte. ...

3. Recherchez les autres applications qui pourraient être infectées. ...

4. Installez une application de sécurité mobile fiable sur votre téléphone.

- Comment supprimer les Malware manuellement ? Pour les neutraliser, vous devez télécharger un antivirus. Vous pouvez télécharger AVG Antivirus Gratuit et l'installer en seulement quelques minutes. Les programmes antivirus sont souvent fournis avec des outils d'analyse pour rechercher des virus et des malwares, même si votre ordinateur ne présente aucun symptôme.

Quels sont les logiciels malveillants que l'on peut trouver ?

• Virus. ...

• Logiciel rançonneur (ransomware) ...

• Faux logiciel de sécurité (scareware) ...

• Ver. ...

• Logiciel espion (spyware) ...

• Cheval de Troie. ...

• Logiciel publicitaire. ...

• Logiciel malveillant sans fichier.

Quelles sont les 2 catégories de logiciels malveillants et les différents types de malware ?

• 1- Le ransomware. Apparus pour la première fois en 2012, ces chevaux de Troie sont redoutables. ...

• 2- Les Fileless Malware. ...

• 3- Les Spiwares ou logiciels espions. ...

• 4- Le cheval de Troie. ...

• 5- Les vers. ...

• 6- Les virus. ...

• 7- Les Rootkits. ...

• 8- Les Botnets ou Bot.

source SLM

UN MALWARE CACHÉ DANS DES APPLICATIONS DANS LE GOOGLE PLAY STORE

Ce malware est présent dans des applications utilitaires dans le Google Play Store et d'autres magasins d'applications, et peut obtenir un accès root sur le téléphone infecté.

Plusieurs vulnérabilités exploitées par le malware

Des chercheurs du Lookout Threat Lab ont trouvé 19 nouvelles applications infectées dans le Google Play Store et d'autres magasins d'applications sur Android. Toutes ces applications contenaient un malware, nommé par les chercheurs AbstractEmu, particulièrement dangereux par sa capacité à obtenir un accès root sur un appareil infecté

AbstractEmu

se cache dans des applications utilitaires, comme des gestionnaires de mots de passe, de fichiers, des applications de gestion de budget et des lanceurs d'applications. L'une d'entre elles, et la seule à avoir été présente sur le magasin de Google, Lite Launcher, a été téléchargée plus de 10 000 fois. Toutes les applications fonctionnaient normalement du point de vue de l'utilisateur, pendant que le malware agissait discrètement. Il faut que l'application soit lancée au moins une fois pour activer le virus, qui attend des instructions de son serveur de commande et de contrôle. Ce dernier peut lui ordonner de récupérer des informations sur le système ou sur l'utilisateur, récupérer et modifier des fichiers et enfin, rooter l'appareil et installer une nouvelle application.

Pour pouvoir toucher un grand nombre de victimes, AbstractEmu contient des exploits pour cinq vulnérabilités, dont certaines datent de 2020 et 2019. Les plus notables sont la CVE-2020-0041, qui permettait une élévation des privilèges locale et qui n'a jamais été exploitée dans la nature auparavant, et la CVE-2020-0069, une vulnérabilité présente dans les puces MediaTek et qui touchait des millions d'appareils. Toutes ces vulnérabilités ont été corrigées, mais les smartphones Android ne reçoivent des mises à jour que pour un temps limité. Le malware exécute ces exploits dans un certain ordre, qui peut être changé à partir des informations récupérées auparavant, pour arriver jusqu'au rootage de l'appareil.

Une fois l'accès root obtenu, le malware installe une autre application qui obtient des permissions intrusives et récolte de nombreuses informations. Il peut également surveiller les notifications, prendre des captures d'écran, modifier le mot de passe de l'appareil ou avoir accès aux données sensibles d'autres applications.

Les chercheurs ne connaissent pas l'identité précise des acteurs malveillants, mais ont fait quelques déductions à partir des informations récupérées lors de l'analyse du malware. Ils pensent que le groupe possède beaucoup de ressources techniques, comme démontré par leurs modifications d'exploits publics afin de les rendre capables de viser plus de cibles, ou par leurs techniques pour éviter la détection. Ils semblent aussi motivés par un aspect financier, leur malware ressemblant énormément à un trojan bancaire. Les chercheurs n'ont pas réussi à déterminer leur objectif final à cause de la désactivation des endpoints permettant de récupérer le dernier payload.

Les victimes se trouvent principalement aux États-Unis, mais des utilisateurs dans 17 autres pays ont été touchés. Lite Launcher a été supprimée du Play Store, mais les autres applications continuent d'être disponibles dans des magasins d'applications tiers. (source clubic)