Një lloj i ri malware Android që përmban aftësinë për të bërë root telefonat e mençur, për të marrë kontrollin e plotë mbi ta, ndërsa njëkohësisht merr masa për të shmangur zbulimin, është shfaqur si një kërcënues i ri për Android.

Ky malware është quajtur "AbstractEmu" për shkak të përdorimit të tij të abstraksionit të kodit dhe kontrolleve kundër emulimit të ndërmarra për të penguar analizat që nga momenti i hapjes së aplikacioneve. Veçanërisht, kjo fushatë globale synon infektimin e sa më shumë pajisjeve që të jetë e mundur.

Lookout Threat Labs tha se gjeti gjithsej 19 aplikacione Android që paraqiteshin si aplikacione të shërbimeve si menaxherët e fjalëkalimeve, menaxherët e parave dhe aplikacionet e ruajtjes së të dhënave, shtatë prej të cilave përmbanin funksionin root. Vetëm një nga aplikacionet mashtruese, i quajtur Lite Launcher, arriti në dyqanin zyrtar të Google Play, duke tërhequr gjithsej 10,000 shkarkime përpara se të spastrohej. Aplikacionet thuhet se janë shpërndarë në mënyrë publike përmes dyqaneve të palëve të treta si Amazon Appstore dhe Samsung Galaxy Store, si dhe tregje të tjera më pak të njohura si Aptoide dhe APKPure.

Përfaqësuesit e Lookout u deklaruan se:

Edhe pse paraqiten rrallë, malware me aftësi për të bërë root janë shumë të rrezikshme. Duke përdorur procesin e root për të fituar akses të privilegjuar në sistemin operativ Android, aktori i kërcënimit mund t’i japë vetes në heshtje leje të rrezikshme ose të instalojë malware shtesë – hapa që normalisht do të kërkonin ndërveprimin e përdoruesit. Privilegjet
e ngritura gjithashtu i japin malware-it akses në të dhënat e ndjeshme të aplikacioneve të tjera, diçka që nuk do të ishte e mundur në rrethana normale

Pasi të instalohet, zinxhiri i sulmit është krijuar për të shfrytëzuar një nga pesë të metat më të vjetra të sigurisë së Android që do ta lejonin atë të fitojë të drejtën për root dhe të marrë përsipër pajisjen, të nxjerrë të dhëna të ndjeshme dhe të transmetojë në një server të kontrolluar nga sulmi në distancë.

 CVE-2015-3636 (PongPongRoot)
 CVE-2015-1805 (iovyroot)
 CVE-2019-2215 (Qu1ckr00t)
 CVE-2020-0041, dhe
 CVE-2020-0069

Lookout ia atribuoi fushatën e shpërndarë në masë të këtij malware një "grupi të mirë-organizuar me motivim financiar". Sipas të dhënave të telemetrisë është bërë e ditur se përdoruesit e pajisjeve Android në SHBA ishin më të prekurit. Objektivi përfundimtar i infiltrimeve mbetet ende i paqartë.