Эксперты предупреждают, что компания Lemon Group использует для своих вредоносных операций миллионы зараженных прямо «из коробки» Android-смартфонов, часов, телевизоров и телевизионных приставок.
Недавно специалисты компании Trend Micro
Эксперты рассказали, что злоумышленники используют малварь
По данным компании, эта активность может быть связана с деятельностью малвари Triada, известным банковским трояном, который
В Trend Micro говорят, что впервые обнаружили Lemon Group в феврале 2022 года, но вскоре после этого компания была переименована в Durian Cloud SMS. Однако инфраструктура и тактика злоумышленников остались прежними.
В Trend Micro не уточняют, как именно Lemon Group заражает устройства вредоносной прошивкой, содержащей Guerilla, но подчеркивают, что изученные устройства были перепрошиты новыми ROM. Суммарно аналитики компании выявили более 50 таких ROM, содержащих загрузчики малвари и нацеленных на различных производителей Android-устройств.
Судя по всему, здесь не обходится без компрометации цепочки поставок. Например, возможна компрометация стороннего ПО, процессов обновления прошивки, а также привлечение инсайдеров на производствах или в цепочке распространения продуктов.
Эксперты рассказали, что все началось с приобретения телефона на Android и извлечения его образа ROM, где была обнаружена модифицированная прошивка, имплантированная Lemon Group. Изученное устройство имело модифицированную системную библиотеку libandroid_runtime.so, которая содержала дополнительный код для расшифровки и выполнения файла DEX.
Код этого файла DEX загружался в память и выполнялся Android Runtime для активации основного подключаемого модуля Sloth, а также его конфигурации, которая содержит адрес домена Lemon Group, использующегося для связи.
Что касается малвари Guerilla, ее основной плагин загружает на устройство жертвы дополнительные модули, предназначенные для выполнения определенных функций:
По информации Trend Micro, Lemon Group ранее заявляла на своем сайте, что контролирует почти 9 000 000 устройств в 180 странах мира. В число наиболее пострадавших стран входят США, Мексика, Индонезия, Таиланд и Россия.
Хуже того, исследователи полагают, что реальное количество Android-устройств, зараженных Guerrilla, может быть куда выше. Однако эти устройства пока не вышли на связь с управляющими серверами злоумышленников, так как все еще стоят на полках магазинов.
Также сообщается, что аналитики обнаружили более 490 000 мобильных номеров, используемых для генерации запросов одноразовых паролей для SMS PVA серсивов JingDong, WhatsApp, Facebook*, QQ, Line, Tinder и других платформ.
Недавно специалисты компании Trend Micro
Для просмотра ссылки необходимо нажать
Вход или Регистрация
об этой проблеме на конференции Black Hat Asia. По их информации, миллионы Android-устройств по всему миру заражаются вредоносным ПО даже не покинув завод, на котором их произвели.Теперь компании опубликовалаДля просмотра ссылки необходимо нажать Вход или Регистрацияо таких заражениях, в котором рассказывает об активности Lemon Group.
Эксперты рассказали, что злоумышленники используют малварь
Для просмотра ссылки необходимо нажать
Вход или Регистрация
для загрузки дополнительных пейлоадов, перехвата одноразовых паролей из SMS, настройки обратного прокси на зараженных устройствах, перехвата сеансов в WhatsApp и так далее.По данным компании, эта активность может быть связана с деятельностью малвари Triada, известным банковским трояном, который
Для просмотра ссылки необходимо нажать
Вход или Регистрация
на 42 моделях бюджетных Android-смартфонов китайских брендов еще в 2018 году.В Trend Micro говорят, что впервые обнаружили Lemon Group в феврале 2022 года, но вскоре после этого компания была переименована в Durian Cloud SMS. Однако инфраструктура и тактика злоумышленников остались прежними.
«Мы выявили ряд видов бизнеса, которые Lemon Group выполняет для компаний, занимающихся big data, маркетингом и рекламой, но основной ее бизнес сосредоточен именно на использовании big data: анализе огромных объемов данных и соответствующих характеристик поставок производителей, различного рекламного контента, полученного от разных пользователей в разное время, а также данных об аппаратном обеспечении».
В Trend Micro не уточняют, как именно Lemon Group заражает устройства вредоносной прошивкой, содержащей Guerilla, но подчеркивают, что изученные устройства были перепрошиты новыми ROM. Суммарно аналитики компании выявили более 50 таких ROM, содержащих загрузчики малвари и нацеленных на различных производителей Android-устройств.
Судя по всему, здесь не обходится без компрометации цепочки поставок. Например, возможна компрометация стороннего ПО, процессов обновления прошивки, а также привлечение инсайдеров на производствах или в цепочке распространения продуктов.
«Преступная группа заразила миллионы устройств на базе Android. В основном это мобильные телефоны, но также встречаются смарт-часы, смарт-телевизоры и многое другое, — сообщают в компании. — Заражение превращает эти устройства в мобильные прокси, инструменты для кражи и продажи SMS-сообщений, данных из социальных сетей и мессенджеров, а также для монетизации с помощью рекламы и кликфрода».
Эксперты рассказали, что все началось с приобретения телефона на Android и извлечения его образа ROM, где была обнаружена модифицированная прошивка, имплантированная Lemon Group. Изученное устройство имело модифицированную системную библиотеку libandroid_runtime.so, которая содержала дополнительный код для расшифровки и выполнения файла DEX.
Код этого файла DEX загружался в память и выполнялся Android Runtime для активации основного подключаемого модуля Sloth, а также его конфигурации, которая содержит адрес домена Lemon Group, использующегося для связи.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
Что касается малвари Guerilla, ее основной плагин загружает на устройство жертвы дополнительные модули, предназначенные для выполнения определенных функций:
- SMS-плагин: перехватывает одноразовые пароли для WhatsApp, JingDong и Facebook*, полученные через SMS;
- прокси-плагин: развертывает обратный прокси на зараженном телефоне, позволяя злоумышленникам использовать сетевые ресурсы жертвы;
- плагин для файлов cookie: ворует файлы cookie Facebook* из каталога данных приложения и передает их на управляющий сервер, а также перехватывает сеансы WhatsApp для распространения нежелательных сообщений со взломанного устройства;
- плагин Splash: показывает навязчивую рекламу жертвам, когда те используют легитимные приложения;
- silent-плагин: устанавливает дополнительные APK-файлы, полученные с сервера, или удаляет существующие приложения в соответствии с инструкциями, при этом установка и запуск приложений происходят в фоновом режиме.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
По информации Trend Micro, Lemon Group ранее заявляла на своем сайте, что контролирует почти 9 000 000 устройств в 180 странах мира. В число наиболее пострадавших стран входят США, Мексика, Индонезия, Таиланд и Россия.
«Посредством данных нашей телеметрии мы подтвердили, что в мире работают миллионы зараженных устройств. Основной кластер этих устройств расположен в Юго-Восточной Азии и Восточной Европе, однако это действительно глобальная проблема».
Хуже того, исследователи полагают, что реальное количество Android-устройств, зараженных Guerrilla, может быть куда выше. Однако эти устройства пока не вышли на связь с управляющими серверами злоумышленников, так как все еще стоят на полках магазинов.
Также сообщается, что аналитики обнаружили более 490 000 мобильных номеров, используемых для генерации запросов одноразовых паролей для SMS PVA серсивов JingDong, WhatsApp, Facebook*, QQ, Line, Tinder и других платформ.
Для просмотра ссылки необходимо нажать
Вход или Регистрация