Un nouveau malware Android a été récemment détecté par les chercheurs en sécurité du Lookout Threat Lab sur plusieurs magasins d'applications tiers, et même sur le Google Play Store.

Ce nouveau malware, baptisé "AbstractEmu", permet à un attaquant d'obtenir des privilèges de super-utilisateur et de prendre le contrôle total des smartphones infectés tout en prenant des mesures pour échapper à la détection.

Lookout Threat Labs dit avoir trouvé un total de 19 applications Android qui se présentaient comme des applications utilitaires et des outils système tels que des gestionnaires de mots de passe, des gestionnaires d'argent, des lanceurs d'applications et des applications de sauvegarde de données, dont sept contenaient la fonctionnalité d'enracinement. Une seule de ces applications malveillantes, appelée Lite Launcher, s'est retrouvée sur le Google Play Store officiel et a fait l'objet de 10 000 téléchargements avant d'être supprimée.

"Bien que rares, les malwares d'enracinement sont très dangereux. En utilisant le processus d'enracinement pour obtenir un accès privilégié au système d'exploitation Android, l'acteur de la menace peut s'accorder silencieusement des autorisations dangereuses ou installer des logiciels malveillants supplémentaires - des étapes qui nécessiteraient normalement l'interaction de l'utilisateur", ont déclaré les chercheurs de Lookout. "Les privilèges élevés permettent également au malware d'accéder aux données sensibles d'autres applications, ce qui n'est pas possible dans des circonstances normales."

Une fois installée, la chaîne d'attaque est conçue pour exploiter l'un des cinq exploits pour d'anciennes failles de sécurité Android (CVE-2015-3636, CVE-2015-1805, CVE-2019-2215, CVE-2020-0041 et CVE-2020-0069) qui lui permettraient d'obtenir des autorisations root et de prendre le contrôle de l'appareil, d'extraire des données sensibles et de les transmettre à un serveur distant contrôlant l'attaque.

L’application concernée retrouvée sur Google Play a été supprimée, cependant les utilisateurs qui l’ont installée sont invités à la supprimée. De plus il est recommandé de ne pas installer les applications mobiles des magasins d'applications tiers.