Onderzoekers hebben in de Google Play Store malware ontdekt die ongepatchte Androidtelefoons root en vervolgens een app installeert die toegang tot sms-berichten, locatie, camera en microfoon heeft en de beveiliging van het toestel aanpast. De malware wordt AbstractEmu genoemd en maakt gebruik van verschillende kwetsbaarheden om volledige controle over het toestel te krijgen.

Het gaat om beveiligingslekken aangeduid als CVE-2019-2215, CVE-2020-0041 en CVE-2020-0069 waarvoor in 2019 en 2020 beveiligingsupdates verschenen. CVE-2020-0041 is een kwetsbaarheid in Binder waardoor een malafide app zijn rechten kan verhogen. Volgens securitybedrijf Lookout is het voor zover bekend voor het eest dat malware misbruik van dit Binder-lek maakt. De andere exploit in de malafide app maakt misbruik van CVE-2020-0069, een kwetsbaarheid in MediaTek-chips die in miljoenen Androidtelefoons aanwezig zijn.

Zodra het toestel is geroot wordt er via de package manager stilletjes een nieuwe app geïnstalleerd die allerlei vergaande permissies krijgt, zoals toegang tot contacten, gespreksbestanden, sms-berichten, locatie, camera en microfoon. Verder wijzigt de malafide app instellingen en vermindert de security van het apparaat. Zo krijgt de app mogelijkheden waarmee phishingaanvallen op gebruikers zijn uit te voeren.

In totaal ontdekten de onderzoekers negentien malafide rooting-apps, waarvan één in de Google Play Store. Deze app, met de naam Lite Launcher, had meer dan 10.000 installaties voordat die door Google werd verwijderd. De overige rooting-apps werden in de Amazon Appstore, Samsung Galaxy Store, Aptoide, APKPure en minder bekende appstores aangetroffen. Lookout adviseert gebruikers om hun Androidtelefoon up-to-date te houden, aangezien de rooting-exploits dan niet werken.