Новости Малварь Guerrilla предустановили на 9 млн смартфонов по всему миру

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
28.781
Репутация
11.595
Реакции
61.694
RUB
50
Эксперты предупреждают, что компания Lemon Group использует для своих вредоносных операций миллионы зараженных прямо «из коробки» Android-смартфонов, часов, телевизоров и телевизионных приставок.


Недавно специалисты компании Trend Micro об этой проблеме на конференции Black Hat Asia. По их информации, миллионы Android-устройств по всему миру заражаются вредоносным ПО даже не покинув завод, на котором их произвели.

Теперь компании опубликовала о таких заражениях, в котором рассказывает об активности Lemon Group.

Эксперты рассказали, что злоумышленники используют малварь для загрузки дополнительных пейлоадов, перехвата одноразовых паролей из SMS, настройки обратного прокси на зараженных устройствах, перехвата сеансов в WhatsApp и так далее.

По данным компании, эта активность может быть связана с деятельностью малвари Triada, известным банковским трояном, который на 42 моделях бюджетных Android-смартфонов китайских брендов еще в 2018 году.

В Trend Micro говорят, что впервые обнаружили Lemon Group в феврале 2022 года, но вскоре после этого компания была переименована в Durian Cloud SMS. Однако инфраструктура и тактика злоумышленников остались прежними.

«Мы выявили ряд видов бизнеса, которые Lemon Group выполняет для компаний, занимающихся big data, маркетингом и рекламой, но основной ее бизнес сосредоточен именно на использовании big data: анализе огромных объемов данных и соответствующих характеристик поставок производителей, различного рекламного контента, полученного от разных пользователей в разное время, а также данных об аппаратном обеспечении».

В Trend Micro не уточняют, как именно Lemon Group заражает устройства вредоносной прошивкой, содержащей Guerilla, но подчеркивают, что изученные устройства были перепрошиты новыми ROM. Суммарно аналитики компании выявили более 50 таких ROM, содержащих загрузчики малвари и нацеленных на различных производителей Android-устройств.

Судя по всему, здесь не обходится без компрометации цепочки поставок. Например, возможна компрометация стороннего ПО, процессов обновления прошивки, а также привлечение инсайдеров на производствах или в цепочке распространения продуктов.

«Преступная группа заразила миллионы устройств на базе Android. В основном это мобильные телефоны, но также встречаются смарт-часы, смарт-телевизоры и многое другое, — сообщают в компании. — Заражение превращает эти устройства в мобильные прокси, инструменты для кражи и продажи SMS-сообщений, данных из социальных сетей и мессенджеров, а также для монетизации с помощью рекламы и кликфрода».

Эксперты рассказали, что все началось с приобретения телефона на Android и извлечения его образа ROM, где была обнаружена модифицированная прошивка, имплантированная Lemon Group. Изученное устройство имело модифицированную системную библиотеку libandroid_runtime.so, которая содержала дополнительный код для расшифровки и выполнения файла DEX.

Код этого файла DEX загружался в память и выполнялся Android Runtime для активации основного подключаемого модуля Sloth, а также его конфигурации, которая содержит адрес домена Lemon Group, использующегося для связи.



Что касается малвари Guerilla, ее основной плагин загружает на устройство жертвы дополнительные модули, предназначенные для выполнения определенных функций:

  • SMS-плагин: перехватывает одноразовые пароли для WhatsApp, JingDong и Facebook*, полученные через SMS;
  • прокси-плагин: развертывает обратный прокси на зараженном телефоне, позволяя злоумышленникам использовать сетевые ресурсы жертвы;
  • плагин для файлов cookie: ворует файлы cookie Facebook* из каталога данных приложения и передает их на управляющий сервер, а также перехватывает сеансы WhatsApp для распространения нежелательных сообщений со взломанного устройства;
  • плагин Splash: показывает навязчивую рекламу жертвам, когда те используют легитимные приложения;
  • silent-плагин: устанавливает дополнительные APK-файлы, полученные с сервера, или удаляет существующие приложения в соответствии с инструкциями, при этом установка и запуск приложений происходят в фоновом режиме.
В итоге эти функции позволяют Lemon Group использовать разные стратегии монетизации, включая продажу скомпрометированных учетных записей, захват сетевых ресурсов, услуги по установке приложений, кликфрод, прокси-сервисы, а также предоставление проверенных учетных записей (SMS Phone Verified Accounts).



По информации Trend Micro, Lemon Group ранее заявляла на своем сайте, что контролирует почти 9 000 000 устройств в 180 странах мира. В число наиболее пострадавших стран входят США, Мексика, Индонезия, Таиланд и Россия.

«Посредством данных нашей телеметрии мы подтвердили, что в мире работают миллионы зараженных устройств. Основной кластер этих устройств расположен в Юго-Восточной Азии и Восточной Европе, однако это действительно глобальная проблема».

Хуже того, исследователи полагают, что реальное количество Android-устройств, зараженных Guerrilla, может быть куда выше. Однако эти устройства пока не вышли на связь с управляющими серверами злоумышленников, так как все еще стоят на полках магазинов.

Также сообщается, что аналитики обнаружили более 490 000 мобильных номеров, используемых для генерации запросов одноразовых паролей для SMS PVA серсивов JingDong, WhatsApp, Facebook*, QQ, Line, Tinder и других платформ.

 
Сверху Снизу