Gang cyberprzestępców wstępnie infekuje miliony urządzeń z Androidem złośliwym oprogramowaniem

Duża firma zajmująca się cyberprzestępczością o nazwie „Lemon Group” podobno preinstalowała złośliwe oprogramowanie o nazwie „Guerrilla” na prawie 9 milionach smartfonów, zegarków, telewizorów i telewizorów z systemem Android.

Przestępcy wykorzystują partyzantkę do ładowania dodatkowych ładunków, przechwytywania jednorazowych haseł z wiadomości SMS, konfigurowania odwrotnego proxy z zainfekowanego urządzenia, przejmowania sesji WhatsApp i nie tylko.

Według raportu o Trend Microktórego analitycy odkryli masowe przestępcze przedsięwzięcie i niedawno przedstawili szczegóły na jego temat Azja w Czarnym Kapeluszu Na konferencji infrastruktura atakujących pokrywa się z operacją trojana Triada z 2016 roku.

Triada był trojanem bankowym preinstalowanym w 42 modelach smartfonów z systemem Android chińskich marek budżetowych, które sprzedają swoje produkty na całym świecie.

Trend Micro twierdzi, że po raz pierwszy zdemaskował Lemon Group w lutym 2022 r., a wkrótce potem grupa została przemianowana na „Durian Cloud SMS”. Jednak infrastruktura i taktyka atakujących pozostały niezmienione.

„Chociaż zidentyfikowaliśmy szereg biznesów, które Lemon Group prowadzi dla firm zajmujących się dużymi danymi, marketingiem i reklamą, podstawową działalnością jest wykorzystywanie dużych zbiorów danych: analizując ogromne ilości danych i odpowiadające im cechy przesyłek producentów, różne treści reklamowe zdobyły od różnych użytkowników w różnym czasie oraz dane sprzętowe wraz ze szczegółowym przesyłaniem oprogramowania” — wyjaśnia raport firmy Trend Micro.

wstrzyknięcie złośliwego oprogramowania

Trend Micro nie wyjaśnił, w jaki sposób Lemon Group infekuje urządzenia złośliwym oprogramowaniem zawierającym Guerrilla, ale wyjaśnił, że analizowane przez analityków urządzenia zostały wyposażone w nowe ROM-y.

Analitycy zidentyfikowali ponad 50 różnych ROM-ów zainfekowanych początkowymi programami ładującymi złośliwe oprogramowanie atakującymi różnych dostawców urządzeń z Androidem.

„Grupa przestępcza zainfekowała miliony urządzeń z Androidem, głównie telefonów komórkowych, ale także inteligentnych zegarków, inteligentnych telewizorów i nie tylko” – czytamy w opisie przemówienia firmy Trend Micro.

„Infekcja zamienia te urządzenia w mobilne serwery proxy, narzędzia do kradzieży i sprzedaży wiadomości SMS, mediów społecznościowych i kont do przesyłania wiadomości online oraz zarabiania na reklamach i oszustwach związanych z kliknięciami”.

Potencjalne sposoby osiągnięcia tego kompromisu obejmują ataki na łańcuch dostaw, zainfekowane oprogramowanie innych firm, uszkodzony proces aktualizacji oprogramowania układowego lub zaangażowanie osób z wewnątrz łańcucha produkcji lub dystrybucji produktu.

Trend Micro twierdzi, że najpierw kupił telefon z Androidem i wyodrębnił jego „obraz ROM”, aby odkryć zmodyfikowane oprogramowanie układowe wszczepione przez Lemon Group.

Na tym urządzeniu biblioteka systemowa libandroid_runtime.so została zmodyfikowana w celu uwzględnienia dodatkowego kodu, który dekodowałby i uruchamiał plik DEX.

Kod pliku DEX jest ładowany do pamięci i wykonywany przez Android Runtime, aby włączyć główną wtyczkę używaną przez atakujących o nazwie „Sloth”, a także wdrożyć jej konfigurację, która obejmuje domenę Lemon Group używaną do komunikacji.

Złośliwe oprogramowanie partyzanckie

Główna wtyczka złośliwego oprogramowania partyzanckiego ładuje dodatkowe wtyczki, które wykonują określone funkcje, w tym:

• Wtyczka do SMS-ów: Przechwytuje jednorazowe hasła otrzymane SMS-em do WhatsApp, JingDong i Facebook.
• wtyczka proxy: Konfiguruje odwrotne proxy z zainfekowanego telefonu, umożliwiając atakującym korzystanie z zasobów sieciowych ofiary.
• wtyczka cookie: Usuwa pliki cookie Facebooka z katalogu danych aplikacji i przenosi je na serwer C2. Ponadto przechwytywane są sesje WhatsApp w celu rozpowszechniania niechcianych wiadomości z zaatakowanego urządzenia.
• wtyczka powitalna: Wyświetla natrętne reklamy ofiarom, gdy korzystają z legalnych aplikacji.
• cicha wtyczka: Instaluje dodatkowe pliki APK otrzymane z serwera C2 lub odinstalowuje istniejące aplikacje zgodnie z instrukcjami. Instalacja i uruchomienie aplikacji są „ciche” w tym sensie, że odbywają się w tle.

Te funkcje pozwalają Lemon Group ustanowić zróżnicowaną strategię zarabiania, która obejmuje sprzedaż zaatakowanych kont, przejmowanie zasobów sieciowych, oferowanie usług instalowania aplikacji, generowanie fałszywych wyświetleń reklam, oferowanie usług proxy i PVA (konta zweryfikowane przez SMS).

Globalny wpływ

Trend Micro informuje, że Lemon Group wcześniej twierdziła na swojej stronie oferującej usługi, że kontroluje prawie dziewięć milionów urządzeń w 180 krajach. Najbardziej dotknięte kraje to Stany Zjednoczone, Meksyk, Indonezja, Tajlandia i Rosja.

„Ponadto potwierdziliśmy za pomocą naszych danych telemetrycznych, że na całym świecie używane są miliony zainfekowanych urządzeń. Główne skupisko tych urządzeń znajduje się w Azji Południowo-Wschodniej i Europie Wschodniej, ale jest to problem prawdziwie globalny” — powiedział Trend Micro.

Firma Trend Micro uważa, że ​​rzeczywista liczba urządzeń z Androidem zainfekowanych przez Guerrillę może być wyższa. Jednak urządzenia te nie komunikowały się jeszcze z serwerami dowodzenia i kontroli atakujących, ponieważ wciąż czekają na zakup.

Monitorując operację, analitycy odkryli ponad 490 000 numerów telefonów komórkowych używanych do generowania jednorazowych żądań hasła do usług SMS PVA z JingDong, WhatsApp, Facebook, QQ, Line, Tinder i innych platform.

Zidentyfikowanie ponad pół miliona zaatakowanych urządzeń powiązanych z tylko jedną usługą oferowaną przez ten syndykat cyberprzestępczy wskazuje na znaczny globalny zasięg ich szkodliwej działalności.

Firma BleepingComputer zapytała firmę Trend Micro, gdzie został zakupiony wstępnie zainfekowany telefon, w jaki sposób jest sprzedawany i jakich marek dotyczy problem, ale odpowiedź nie była natychmiast dostępna.