Connect with us

technologia

Gang cyberprzestępców wstępnie infekuje miliony urządzeń z Androidem złośliwym oprogramowaniem

Published

on

Gang cyberprzestępców wstępnie infekuje miliony urządzeń z Androidem złośliwym oprogramowaniem

Duża firma zajmująca się cyberprzestępczością o nazwie „Lemon Group” podobno preinstalowała złośliwe oprogramowanie o nazwie „Guerrilla” na prawie 9 milionach smartfonów, zegarków, telewizorów i telewizorów z systemem Android.

Przestępcy wykorzystują partyzantkę do ładowania dodatkowych ładunków, przechwytywania jednorazowych haseł z wiadomości SMS, konfigurowania odwrotnego proxy z zainfekowanego urządzenia, przejmowania sesji WhatsApp i nie tylko.

Według raportu o Trend Microktórego analitycy odkryli masowe przestępcze przedsięwzięcie i niedawno przedstawili szczegóły na jego temat Azja w Czarnym Kapeluszu Na konferencji infrastruktura atakujących pokrywa się z operacją trojana Triada z 2016 roku.

Triada był trojanem bankowym preinstalowanym w 42 modelach smartfonów z systemem Android chińskich marek budżetowych, które sprzedają swoje produkty na całym świecie.

Trend Micro twierdzi, że po raz pierwszy zdemaskował Lemon Group w lutym 2022 r., a wkrótce potem grupa została przemianowana na „Durian Cloud SMS”. Jednak infrastruktura i taktyka atakujących pozostały niezmienione.

„Chociaż zidentyfikowaliśmy szereg biznesów, które Lemon Group prowadzi dla firm zajmujących się dużymi danymi, marketingiem i reklamą, podstawową działalnością jest wykorzystywanie dużych zbiorów danych: analizując ogromne ilości danych i odpowiadające im cechy przesyłek producentów, różne treści reklamowe zdobyły od różnych użytkowników w różnym czasie oraz dane sprzętowe wraz ze szczegółowym przesyłaniem oprogramowania” — wyjaśnia raport firmy Trend Micro.

wstrzyknięcie złośliwego oprogramowania

Trend Micro nie wyjaśnił, w jaki sposób Lemon Group infekuje urządzenia złośliwym oprogramowaniem zawierającym Guerrilla, ale wyjaśnił, że analizowane przez analityków urządzenia zostały wyposażone w nowe ROM-y.

Analitycy zidentyfikowali ponad 50 różnych ROM-ów zainfekowanych początkowymi programami ładującymi złośliwe oprogramowanie atakującymi różnych dostawców urządzeń z Androidem.

„Grupa przestępcza zainfekowała miliony urządzeń z Androidem, głównie telefonów komórkowych, ale także inteligentnych zegarków, inteligentnych telewizorów i nie tylko” – czytamy w opisie przemówienia firmy Trend Micro.

READ  Dostawa drona defibrylatorów w Polsce

„Infekcja zamienia te urządzenia w mobilne serwery proxy, narzędzia do kradzieży i sprzedaży wiadomości SMS, mediów społecznościowych i kont do przesyłania wiadomości online oraz zarabiania na reklamach i oszustwach związanych z kliknięciami”.

Potencjalne sposoby osiągnięcia tego kompromisu obejmują ataki na łańcuch dostaw, zainfekowane oprogramowanie innych firm, uszkodzony proces aktualizacji oprogramowania układowego lub zaangażowanie osób z wewnątrz łańcucha produkcji lub dystrybucji produktu.

Trend Micro twierdzi, że najpierw kupił telefon z Androidem i wyodrębnił jego „obraz ROM”, aby odkryć zmodyfikowane oprogramowanie układowe wszczepione przez Lemon Group.

Na tym urządzeniu biblioteka systemowa libandroid_runtime.so została zmodyfikowana w celu uwzględnienia dodatkowego kodu, który dekodowałby i uruchamiał plik DEX.

Kod pliku DEX jest ładowany do pamięci i wykonywany przez Android Runtime, aby włączyć główną wtyczkę używaną przez atakujących o nazwie „Sloth”, a także wdrożyć jej konfigurację, która obejmuje domenę Lemon Group używaną do komunikacji.

Zmanipulowana biblioteka systemowa podczas ładowania głównej wtyczki (TrendMikro)

Złośliwe oprogramowanie partyzanckie

Główna wtyczka złośliwego oprogramowania partyzanckiego ładuje dodatkowe wtyczki, które wykonują określone funkcje, w tym:

  • Wtyczka do SMS-ów: Przechwytuje jednorazowe hasła otrzymane SMS-em do WhatsApp, JingDong i Facebook.
  • wtyczka proxy: Konfiguruje odwrotne proxy z zainfekowanego telefonu, umożliwiając atakującym korzystanie z zasobów sieciowych ofiary.
  • wtyczka cookie: Usuwa pliki cookie Facebooka z katalogu danych aplikacji i przenosi je na serwer C2. Ponadto przechwytywane są sesje WhatsApp w celu rozpowszechniania niechcianych wiadomości z zaatakowanego urządzenia.
  • wtyczka powitalna: Wyświetla natrętne reklamy ofiarom, gdy korzystają z legalnych aplikacji.
  • cicha wtyczka: Instaluje dodatkowe pliki APK otrzymane z serwera C2 lub odinstalowuje istniejące aplikacje zgodnie z instrukcjami. Instalacja i uruchomienie aplikacji są „ciche” w tym sensie, że odbywają się w tle.

Te funkcje pozwalają Lemon Group ustanowić zróżnicowaną strategię zarabiania, która obejmuje sprzedaż zaatakowanych kont, przejmowanie zasobów sieciowych, oferowanie usług instalowania aplikacji, generowanie fałszywych wyświetleń reklam, oferowanie usług proxy i PVA (konta zweryfikowane przez SMS).

Wtyczki i ścieżki monetyzacji Lemon Group (TrendMikro)

Globalny wpływ

Trend Micro informuje, że Lemon Group wcześniej twierdziła na swojej stronie oferującej usługi, że kontroluje prawie dziewięć milionów urządzeń w 180 krajach. Najbardziej dotknięte kraje to Stany Zjednoczone, Meksyk, Indonezja, Tajlandia i Rosja.

Rzekomo zainfekowane urządzenia (TrendMikro)

„Ponadto potwierdziliśmy za pomocą naszych danych telemetrycznych, że na całym świecie używane są miliony zainfekowanych urządzeń. Główne skupisko tych urządzeń znajduje się w Azji Południowo-Wschodniej i Europie Wschodniej, ale jest to problem prawdziwie globalny” — powiedział Trend Micro.

READ  Możliwy polski odpowiednik GPT. Udana współpraca w obszarze AI pomiędzy Gdańsk Tech i OPI

Firma Trend Micro uważa, że ​​rzeczywista liczba urządzeń z Androidem zainfekowanych przez Guerrillę może być wyższa. Jednak urządzenia te nie komunikowały się jeszcze z serwerami dowodzenia i kontroli atakujących, ponieważ wciąż czekają na zakup.

Monitorując operację, analitycy odkryli ponad 490 000 numerów telefonów komórkowych używanych do generowania jednorazowych żądań hasła do usług SMS PVA z JingDong, WhatsApp, Facebook, QQ, Line, Tinder i innych platform.

Zidentyfikowanie ponad pół miliona zaatakowanych urządzeń powiązanych z tylko jedną usługą oferowaną przez ten syndykat cyberprzestępczy wskazuje na znaczny globalny zasięg ich szkodliwej działalności.

Firma BleepingComputer zapytała firmę Trend Micro, gdzie został zakupiony wstępnie zainfekowany telefon, w jaki sposób jest sprzedawany i jakich marek dotyczy problem, ale odpowiedź nie była natychmiast dostępna.

Continue Reading
Click to comment

Leave a Reply

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *