Милиони потребители на телефони с Android по света ежедневно допринасят за финансовото благосъстояние на дружество, наречено Lemon Group, само защото притежават тези устройства.

Без да знаят, операторите на Lemon Group са заразили устройствата им още преди да ги купят. Сега те тихомълком използват телефоните им като инструменти за кражба и продажба на SMS съобщения и еднократни пароли (OTP), за показване на нежелани реклами, за създаване на акаунти за онлайн съобщения и социални медии и за други цели.

Самата Lemon Group твърди, че разполага с база от близо 9 милиона заразени от Guerrilla устройства с Android, с които клиентите ѝ могат да злоупотребяват по различни начини. Но Trend Micro смята, че действителният брой може да е още по-голям.

Изграждане на бизнес върху заразени устройства

Lemon Group е сред няколкото киберпрестъпни групи, които през последните години са изградили печеливши бизнес модели около предварително заразени устройства с Android.

Изследователите от Trend Micro за пръв път започнаха да разплитат операцията, когато направиха съдебен анализ на ROM изображение на устройство с Android, заразено със злонамерен софтуер, наречен „Guerrilla“. Разследването им показа, че групата е заразила устройства, принадлежащи на потребители на Android в 180 държави. Повече от 55% от жертвите са в Азия, около 17% са в Северна Америка, а близо 10% – в Африка. Trend Micro е успяла да идентифицира повече от 50 марки – предимно евтини – мобилни устройства.

В презентация на току-що приключилото изложение Black Hat Asia 2023 и в публикация в блога тази седмица изследователите на Trend Micro Фьодор Ярочкин, Женгю Донг и Пол Пажарес споделиха своите виждания за заплахата, която организации като Lemon Group представляват за потребителите на Android. Те я описват като непрекъснато нарастващ проблем, който е започнал да засяга не само потребителите на телефони с Android, но и собствениците на Smart телевизори с Android, телевизионни кутии, развлекателни системи, базирани на Android, и дори детски часовници, базирани на Android.

„Следвайки нашите изчисления за времевата линия, извършителят е разпространил този зловреден софтуер през последните пет години“, заявиха изследователите. „Компрометирането на някоя значителна критична инфраструктура с тази инфекция вероятно може да донесе значителна печалба на Lemon Group в дългосрочен план за сметка на легитимните потребители.“

Стар, но развиващ се проблем, свързан със заразяването със зловреден софтуер

Проблемът с телефоните с Android, които се доставят с предварително инсталиран зловреден софтуер, със сигурност не е нов. През годините множество доставчици на системи за сигурност, включително Trend Micro, Kaspersky и Google, са докладвали за недобросъвестни компании, които въвеждат потенциално вредни приложения на ниво фърмуер в устройствата с Android.

В много от случаите манипулирането се е случвало, когато производител на оригинално оборудване за Android, който е искал да добави допълнителни функции към стандартния образ на системата Android, е възлагал задачата на трета страна. В някои случаи лошите играчи успяват да внедрят потенциално вредни приложения и зловреден софтуер чрез актуализации на фърмуера по ефира  (FOTA). Преди няколко години повечето зловредни програми, които се откриваха предварително инсталирани в устройства с Android, бяха крадци на информация и рекламни сървъри.

Обикновено подобна намеса е включвала евтини устройства от предимно неизвестни и по-малки марки. Но понякога са били засегнати и устройства, принадлежащи на по-големи доставчици и производители на оригинално оборудване. През 2017 г. например Check Point съобщи, че е открил цели 37 модела устройства с Android от голяма мултинационална телекомуникационна компания, предварително инсталирани с такъв зловреден софтуер. Създателят на заплахата, който стои зад аферата, е добавил шест от образците на зловреден софтуер в ROM паметта на устройството, така че потребителят да не може да ги премахне, без да префлашне устройствата.

Предварително инсталираният зловреден софтуер става все по-опасен

През последните години някои от зловредните програми, които се намират предварително инсталирани в устройствата с Android, станаха много по-опасни. Най-добрият пример за това е Triada – троянски кон, който модифицира основния процес Zygote в операционната система Androidа. Той също така активно подменяше системните файлове и работеше предимно в оперативната памет на системата, което го правеше много труден за откриване. Хакерите, стоящи зад зловредния софтуер, го използваха, наред с други неща, за прихващане на входящи и изходящи SMS съобщения за кодове за проверка на трансакции, за показване на нежелани реклами и за манипулиране на резултатите от търсенето.

Проучването на Trend Micro в кампанията за зловреден софтуер Guerrilla показа припокриване – например в инфраструктурата за командване и контрол и комуникациите – между операциите на Lemon Group и тези на Triada. Например Trend Micro установи, че имплантът на Lemon Group манипулира процеса на Zygote и по същество става част от всяко приложение на компрометирано устройство. Освен това зловредният софтуер се състои от основен плъгин, който зарежда множество други плъгини, всяка от които има много специфична цел. Те включват такъв, предназначен за прихващане на SMS съобщения и четене на OTP от платформи като WhatsApp, Facebook и приложение за пазаруване, наречено JingDong.

Плъгини за различни злонамерени дейности

Един от плъгините е ключов компонент на услугата SMS phone verified account (SMS PVA), която Lemon Group управлява за своите клиенти. Услугите SMS PVA по принцип предоставят на потребителите временни или еднократни телефонни номера, които те могат да използват за проверка на телефонния номер, когато се регистрират например за онлайн услуга, и за получаване на двуфакторна автентикация и еднократни пароли за удостоверяване на самоличността им по-късно. Докато някои използват такива услуги от съображения за защита на личните данни, участници в заплахи като Lemon Group ги използват, за да дадат възможност на клиентите да регистрират масово спам акаунти, да създават фалшиви акаунти в социални медии и да извършват други злонамерени дейности.

Друга приставка на Guerrilla позволява на Lemon Group по същество да отдава под наем ресурсите на заразения телефон за кратки периоди от време на клиенти; приставка за бисквитки се закача за свързаните с Facebook приложения на устройствата на потребителя за цели, свързани с рекламни измами; а приставка за WhatsApp отвлича сесиите на WhatsApp на потребителя, за да изпраща нежелани съобщения. Друга приставка позволява безшумно инсталиране на приложения, които биха изисквали разрешение за инсталиране за определени дейности.

„Установихме, че някои от тези фирми се използват за различни техники за монетизиране, като например силно зареждане на реклами с помощта на безшумните плъгини, прокарани на заразените телефони, реклами за смарт телевизия и приложения за Google play със скрити реклами“, според анализа на Trend Micro. „Смятаме, че операциите  могат да бъдат и случай на кражба на информация от заразеното устройство, която да се използва за събиране на големи обеми от данни, преди да се продаде на други извършители като друга схема за монетизиране след заразяването.“