一个身份不明的威胁行为者与一种新的 Android 恶意软件有关，该软件的特点是能够对智能手机进行 root ，并完全控制受感染的智能手机，同时采取措施逃避检测。

该恶意软件被命名为“ Abstract Emu ”，因为它使用了代码抽象和反仿真检查，从应用程序被打开的那一刻起就阻碍了分析。值得注意的是，全球移动战役的设计目标和感染尽可能多的设备不分青红皂白。

Lookout Threat Labs 称，他们发现共有 19 个 Android 应用程序以实用程序和系统工具的形式出现，如密码管理器、资金管理器，应用程序启动器和数据保存应用程序，其中 7 个包含了生根功能。只有一款流氓应用 Lite Launcher 进入了 Google Play 官方商店，在被清除之前，它总共吸引了 1 万次下载。

据称，这些应用主要通过亚马逊 Appstore 和三星 Galaxy Store 等第三方商店，以及其他不太知名的市场，如 A pto ide 和 A PK Pure 进行分发。

“虽然很少，但恶意软件的生根是非常危险的。通过使用 rooting 过程获得对 Android 操作系统的特权访问，威胁参与者可以悄悄地授予自己危险的权限或安装额外的恶意软件——这些步骤通常需要用户交互，”Lookout 研究人员表示。“提升的权限还能让恶意软件获得其他应用的敏感数据，这在正常情况下是不可能的。”

一旦安装，攻击链的目的是利用五个漏洞之一的旧 Android 安全漏洞，这将允许它获得根权限和接管设备，提取敏感数据，并传输到远程攻击控制的服务器-

CVE - 2015 年- 3636 （PongPongRoot)

CVE - 2015 年至 1805(iovyroot)

CVE - 2019 - 2215 (Qu1ckr00t)

CVE - 2020 - 0041 and

CVE - 2020 - 0069

Lookout 将这场大规模的分布式恶意软件活动归因于一个“资源充足且有财务动机的组织”，遥测数据显示，美国的 Android 设备用户受到的影响最大。渗透的最终目的还不清楚。

研究人员表示：“ Android 或越狱 iOS 设备仍然是完全破坏移动设备的最具侵入性的方式。”他们补充说：“移动设备是网络犯罪分子利用的完美工具，因为它们有无数的功能，并持有大量的敏感数据。”