Clicky

Nuevo malware de Android puede obtener acceso de root a tu teléfono inteligente

malware AbstractEmu

Denominado "AbstractEmu", infecta tantos dispositivos como sea posible de forma indiscriminada

Un actor de amenazas no identificado se ha vinculado a una nueva cepa de malware de Android que presenta la capacidad de rootear teléfonos inteligentes y tomar un control completo sobre los teléfonos infectados mientras simultáneamente toma medidas para evadir la detección.

El malware se ha denominado "AbstractEmu" debido a su uso de abstracción de código y comprobaciones anti-emulación realizadas para frustrar el análisis desde el momento en que se abren las aplicaciones. En particular, la campaña móvil global está diseñada para atacar e infectar tantos dispositivos como sea posible de forma indiscriminada.

Lookout Threat Labs dijo que encontró un total de 19 aplicaciones de Android que se hicieron pasar por aplicaciones de utilidad y herramientas del sistema como administradores de contraseñas, administradores de dinero, lanzadores de aplicaciones y aplicaciones para guardar datos, siete de las cuales contenían la funcionalidad de rooteo. Solo una de las aplicaciones fraudulentas, llamada Lite Launcher, llegó a la tienda oficial de Google Play, atrayendo un total de 10.000 descargas antes de ser purgada.

malware AbstractEmu, accesos

Se dice que las aplicaciones se distribuyeron de manera destacada a través de tiendas de terceros como Amazon Appstore y Samsung Galaxy Store, así como otros mercados menos conocidos como Aptoide y APKPure.

"Si bien es raro, el malware de rooteo es muy peligroso. Al utilizar el proceso de root para obtener acceso privilegiado al sistema operativo Android, el actor de amenazas puede otorgarse silenciosamente permisos peligrosos o instalar malware adicional, pasos que normalmente requerirían la interacción del usuario", afirman los investigadores de Lookout. "Los privilegios elevados también dan acceso al malware a los datos confidenciales de otras aplicaciones, algo que no es posible en circunstancias normales".

Una vez instalada, la cadena de ataque está diseñada para aprovechar uno de los cinco exploits para fallas de seguridad de Android más antiguas que le permitirían obtener permisos de root y hacerse cargo del dispositivo, extraer datos confidenciales y transmitirlos a un servidor remoto controlado por ataques:

CVE-2015-3636 (PongPongRoot)
CVE-2015-1805 (iovyroot)
CVE-2019-2215 (Qu1ckr00t)
CVE-2020-0041, y
CVE-2020-0069

Lookout atribuyó la campaña de malware de rooting distribuido masivamente a un "grupo con buenos recursos y motivación financiera", y los datos de telemetría revelaron que los usuarios de dispositivos Android en los EE. UU. fueron los más afectados. Aún no está claro el objetivo final de las infiltraciones.

"Rootear Android o hacer jailbreak a los dispositivos iOS siguen siendo las formas más invasivas de comprometer completamente un dispositivo móvil", dijeron los investigadores, agregando que "los dispositivos móviles son herramientas perfectas para que los exploten los ciberdelincuentes, ya que tienen innumerables funcionalidades y contienen una inmensa cantidad de datos confidenciales".

Jesus_Caceres