带 root 权限的 Android 恶意软件正在卷土重来

10月28日，  Lookout Threat Lab 安全研究人员发现了一系列 Android 恶意软件，它们带有 root 权限，能完全控制受感染的手机等移动设备。

研究人员将恶意软件命名为 “AbstractEmu” ，因为它使用了代码抽象和反仿真检查，以避免在被分析时运行。这些恶意软件分布在 Google Play 和其他第三方商店，如亚马逊应用商店和三星 Galaxy 商店等，目前共发现 19 个“AbstractEmu” 相关的应用程序，其中 7 个包含 root 功能，其中一个在谷歌商店的下载量超过 10,000。

AbstractEmu 的背后可能是一个资源丰富且有经济动机的团队，他们的代码库和规避技术非常复杂，而且利用的漏洞类型非常现代：

• CVE-2020-0041：一个全新的漏洞，以前从未被用于恶意程序。
• CVE-2020-0069：在联发科芯片中发现的漏洞，或影响数百万台设备。

除了直接利用这两个漏洞，恶意攻击者还主动修改了 CVE-2019-2215 和 CVE-2020-0041 公开漏洞的代码，以支持更多设备，这足以表明他们的技术能力。

在恶意软件被发现的短时间内，AbstractEmu 背后的攻击参与者已经禁用了从恶意软件到恶意服务器的通信端口，这使得软件的源头无从查证。

事实上，过去五年中，具有 root 权限的恶意软件变得很少见，随着 Android 生态系统的成熟，影响大量硬件设备的漏洞越来越少。但带 root 权限的恶意软件影响力还是非常惊人，因为攻击者可以获得设备的最高控制权：下载并安装其他恶意软件、传输文件或者访问其他应用的敏感数据，这对个人隐私和财产安全都是毁灭性的打击。

建议大伙都把自己的移动设备系统升级到最新版本，安装应用也尽量在官方商店下载，避免受到恶意软件的影响。