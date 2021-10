C’è un nuovo malware in circolazione su smartphone Android: si tratta di AbstractEmu ed è in grado di eseguire il root dei dispositivi infetti per controllare il dispositivo e modificare, zitto zitto, le impostazioni di sistema, così da evitare di essere scovato da antivirus. Questo virus giunge con diverse applicazioni presenti su vari app store.

Stando alle analisi condotte dai ricercatori di Lookout Threat Labs, AbstractEmu non verrebbe attivato tramite server C&C da parte dei malintenzionati del caso, anzi si attiverebbe automaticamente in seguito all’apertura dell’applicazione infetta. Quando installato, esso eseguirebbe il root sfruttando vulnerabilità mai sfruttate prima da altri malware Android. Una di esse, in particolare, attaccherebbe gli smartphone con chipset MediaTek.

Secondo gli esperti di Lookout, AbstractEmu è una visione alquanto rara per gli standard attuali dei cybercriminali, come il malware Joker diffuso tramite app di Squid Game: “Si tratta di una scoperta significativa perché il malware con funzionalità di root è diventato raro negli ultimi cinque anni. Utilizzando il processo di rooting per ottenere l'accesso privilegiato al sistema operativo Android, l'autore della minaccia può ottenere silenziosamente autorizzazioni pericolose o installare malware aggiuntivo, passaggi che normalmente richiederebbero l'interazione dell'utente”.

Tra le azioni che AbstractEmu può eseguire figurano il monitoraggio delle notifiche, l’acquisizione di screenshots, il blocco del dispositivo e anche il cambiamento della password. Inoltre, il malware può accedere ai dati sensibili di altre applicazioni.

Ma quali sono le app infette? La lista di quelle individuate da Lookout è la seguente:

All Passwords - com.mobilesoft.security.password

Anti-ads Browser - com.zooitlab.antiadsbrowser

Data Saver - com.smarttool.backup.smscontacts

Lite Launcher - com.st.launcher.lite

My Phone - com.dentonix.myphone

Night Light - com.nightlight.app

Phone Plus - com.phoneplusapp

Si tratta principalmente di applicazioni utility come gestori di password e launcher, disponibili sia su Google Play Store (da cui però sono state rimosse dopo la segnalazione di Lookout), sia su app store di terze parti come Amazon Appstore, Samsung Galaxy Store e Aptoide. In altre parole, prestate molta attenzione alle applicazioni che scaricate e, se avete già utilizzato quelle sopra citate, disinstallatele immediatamente.

Di recente è stata segnalata anche una nuova campagna SMS truffa ai danni di utenti Android, causata dall'installazione di diverse app disponibili su Play Store.