تم ربط ممثل تهديد مجهول بسلسلة جديدة من البرامج الضارة على نظام Android والتي تتميز بالقدرة على اجتياز الهواتف الذكية والسيطرة الكاملة على المصابة مع اتخاذ خطوات في نفس الوقت لتجنب الاكتشاف.
تم تسمية الـ Maleware باسم "AbstractEmu" نظرًا لاستخدامه في تجريد الكود وفحوصات مكافحة المحاكاة لتجنب التشغيل أثناء التحليل. والجدير بالذكر أن الحملة العالمية للجوّال مصممة لاستهداف المستخدمين وإصابة أكبر عدد ممكن من الأجهزة دون تمييز.
قالت شركة Lookout Threat Labs إنها وجدت ما مجموعه 19 تطبيقًا من تطبيقات Android التي تم طرحها كتطبيقات أدوات مساعدة وأدوات نظام مثل مديري كلمات المرور ومديري الأموال ومشغلات التطبيقات وتطبيقات حفظ البيانات، سبعة منها تحتوي على وظائف التجذير rooting functionality. واحد فقط من التطبيقات المارقة، يسمى Lite Launcher، شق طريقه إلى متجر Google Play الرسمي، وجذب ما مجموعه 10000 تنزيل قبل إزالته.
يُقال إن التطبيقات قد وزعت بشكل بارز عبر متاجر تابعة لجهات خارجية مثل Amazon Appstore و Samsung Galaxy Store، بالإضافة إلى أسواق أخرى أقل شهرة مثل Aptoide و APKPure.
تم تسمية الـ Maleware باسم "AbstractEmu" نظرًا لاستخدامه في تجريد الكود وفحوصات مكافحة المحاكاة لتجنب التشغيل أثناء التحليل. والجدير بالذكر أن الحملة العالمية للجوّال مصممة لاستهداف المستخدمين وإصابة أكبر عدد ممكن من الأجهزة دون تمييز.
قالت شركة Lookout Threat Labs إنها وجدت ما مجموعه 19 تطبيقًا من تطبيقات Android التي تم طرحها كتطبيقات أدوات مساعدة وأدوات نظام مثل مديري كلمات المرور ومديري الأموال ومشغلات التطبيقات وتطبيقات حفظ البيانات، سبعة منها تحتوي على وظائف التجذير rooting functionality. واحد فقط من التطبيقات المارقة، يسمى Lite Launcher، شق طريقه إلى متجر Google Play الرسمي، وجذب ما مجموعه 10000 تنزيل قبل إزالته.
يُقال إن التطبيقات قد وزعت بشكل بارز عبر متاجر تابعة لجهات خارجية مثل Amazon Appstore و Samsung Galaxy Store، بالإضافة إلى أسواق أخرى أقل شهرة مثل Aptoide و APKPure.
قال باحثو Lookout: "على الرغم من ندرته، فإن تجذير البرامج الضارة أمر خطير للغاية. باستخدام عملية التجذير للحصول على وصول مميز إلى نظام التشغيل Android، يمكن لممثل التهديد أن يمنح نفسه بصمت أذونات خطيرة أو تثبيت برامج ضارة إضافية- وهي خطوات تتطلب عادةً تفاعل المستخدم"، "تمنح الامتيازات المرتفعة أيضًا وصول البرامج الضارة إلى البيانات الحساسة للتطبيقات الأخرى، وهو أمر غير ممكن في الظروف العادية."
بمجرد التثبيت، تم تصميم سلسلة الهجوم لواحدة من خمس مآثر للعيوب الأمنية القديمة في Android والتي من شأنها أن تسمح لها بالحصول على أذونات الجذر والاستيلاء على الجهاز واستخراج البيانات الحساسة ونقلها إلى خادم يتم التحكم فيه عن بُعد-
CVE-2015-3636 (PongPongRoot)
CVE-2015-1805 (iovyroot)
CVE-2019-2215 (Qu1ckr00t)
CVE-2020-0041, and
CVE-2020-0069
CVE-2015-1805 (iovyroot)
CVE-2019-2215 (Qu1ckr00t)
CVE-2020-0041, and
CVE-2020-0069
قال الباحثون: "لا يزال تجذير أجهزة Android أو كسر الحماية لأجهزة iOS من أكثر الطرق توغلًا لاختراق جهاز محمول بشكل كامل"، مضيفين أن "الأجهزة المحمولة هي أدوات مثالية لمجرمي الإنترنت لاستغلالها، حيث إنها تتمتع بوظائف لا حصر لها وتحتوي على قدر هائل من المعلومات الحساسة. البيانات."
