Lemon Group използва милиони предварително заразени телефони с Android

Милиони потребители на телефони с Android по света ежедневно допринасят за финансовото благосъстояние на дружество, наречено Lemon Group, само защото притежават тези устройства.

Без да знаят, операторите на Lemon Group са заразили устройствата им още преди да ги купят. Сега те тихомълком използват телефоните им като инструменти за кражба и продажба на SMS съобщения и еднократни пароли (OTP), за показване на нежелани реклами, за създаване на акаунти за онлайн съобщения и социални медии и за други цели.

Самата Lemon Group твърди, че разполага с база от близо 9 милиона заразени от Guerrilla устройства с Android, с които клиентите ѝ могат да злоупотребяват по различни начини. Но Trend Micro смята, че действителният брой може да е още по-голям.

Изграждане на бизнес върху заразени устройства

Lemon Group е сред няколкото киберпрестъпни групи, които през последните години са изградили печеливши бизнес модели около предварително заразени устройства с Android.

Изследователите от Trend Micro за пръв път започнаха да разплитат операцията, когато направиха съдебен анализ на ROM изображение на устройство с Android, заразено със злонамерен софтуер, наречен „Guerrilla“. Разследването им показа, че групата е заразила устройства, принадлежащи на потребители на Android в 180 държави. Повече от 55% от жертвите са в Азия, около 17% са в Северна Америка, а близо 10% – в Африка. Trend Micro е успяла да идентифицира повече от 50 марки – предимно евтини – мобилни устройства.

В презентация на току-що приключилото изложение Black Hat Asia 2023 и в публикация в блога тази седмица изследователите на Trend Micro Фьодор Ярочкин, Женгю Донг и Пол Пажарес споделиха своите виждания за заплахата, която организации като Lemon Group представляват за потребителите на Android. Те я описват като непрекъснато нарастващ проблем, който е започнал да засяга не само потребителите на телефони с Android, но и собствениците на Smart телевизори с Android, телевизионни кутии, развлекателни системи, базирани на Android, и дори детски часовници, базирани на Android.

„Следвайки нашите изчисления за времевата линия, извършителят е разпространил този зловреден софтуер през последните пет години“, заявиха изследователите. „Компрометирането на някоя значителна критична инфраструктура с тази инфекция вероятно може да донесе значителна печалба на Lemon Group в дългосрочен план за сметка на легитимните потребители.“

Стар, но развиващ се проблем, свързан със заразяването със зловреден софтуер

Проблемът с телефоните с Android, които се доставят с предварително инсталиран зловреден софтуер, със сигурност не е нов. През годините множество доставчици на системи за сигурност, включително Trend Micro, Kaspersky и Google, са докладвали за недобросъвестни компании, които въвеждат потенциално вредни приложения на ниво фърмуер в устройствата с Android.

В много от случаите манипулирането се е случвало, когато производител на оригинално оборудване за Android, който е искал да добави допълнителни функции към стандартния образ на системата Android, е възлагал задачата на трета страна. В някои случаи лошите играчи успяват да внедрят потенциално вредни приложения и зловреден софтуер чрез актуализации на фърмуера по ефира  (FOTA). Преди няколко години повечето зловредни програми, които се откриваха предварително инсталирани в устройства с Android, бяха крадци на информация и рекламни сървъри.

Обикновено подобна намеса е включвала евтини устройства от предимно неизвестни и по-малки марки. Но понякога са били засегнати и устройства, принадлежащи на по-големи доставчици и производители на оригинално оборудване. През 2017 г. например Check Point съобщи, че е открил цели 37 модела устройства с Android от голяма мултинационална телекомуникационна компания, предварително инсталирани с такъв зловреден софтуер. Създателят на заплахата, който стои зад аферата, е добавил шест от образците на зловреден софтуер в ROM паметта на устройството, така че потребителят да не може да ги премахне, без да префлашне устройствата.

Предварително инсталираният зловреден софтуер става все по-опасен

През последните години някои от зловредните програми, които се намират предварително инсталирани в устройствата с Android, станаха много по-опасни. Най-добрият пример за това е Triada – троянски кон, който модифицира основния процес Zygote в операционната система Androidа. Той също така активно подменяше системните файлове и работеше предимно в оперативната памет на системата, което го правеше много труден за откриване. Хакерите, стоящи зад зловредния софтуер, го използваха, наред с други неща, за прихващане на входящи и изходящи SMS съобщения за кодове за проверка на трансакции, за показване на нежелани реклами и за манипулиране на резултатите от търсенето.

Проучването на Trend Micro в кампанията за зловреден софтуер Guerrilla показа припокриване – например в инфраструктурата за командване и контрол и комуникациите – между операциите на Lemon Group и тези на Triada. Например Trend Micro установи, че имплантът на Lemon Group манипулира процеса на Zygote и по същество става част от всяко приложение на компрометирано устройство. Освен това зловредният софтуер се състои от основен плъгин, който зарежда множество други плъгини, всяка от които има много специфична цел. Те включват такъв, предназначен за прихващане на SMS съобщения и четене на OTP от платформи като WhatsApp, Facebook и приложение за пазаруване, наречено JingDong.

Плъгини за различни злонамерени дейности

Един от плъгините е ключов компонент на услугата SMS phone verified account (SMS PVA), която Lemon Group управлява за своите клиенти. Услугите SMS PVA по принцип предоставят на потребителите временни или еднократни телефонни номера, които те могат да използват за проверка на телефонния номер, когато се регистрират например за онлайн услуга, и за получаване на двуфакторна автентикация и еднократни пароли за удостоверяване на самоличността им по-късно. Докато някои използват такива услуги от съображения за защита на личните данни, участници в заплахи като Lemon Group ги използват, за да дадат възможност на клиентите да регистрират масово спам акаунти, да създават фалшиви акаунти в социални медии и да извършват други злонамерени дейности.

Друга приставка на Guerrilla позволява на Lemon Group по същество да отдава под наем ресурсите на заразения телефон за кратки периоди от време на клиенти; приставка за бисквитки се закача за свързаните с Facebook приложения на устройствата на потребителя за цели, свързани с рекламни измами; а приставка за WhatsApp отвлича сесиите на WhatsApp на потребителя, за да изпраща нежелани съобщения. Друга приставка позволява безшумно инсталиране на приложения, които биха изисквали разрешение за инсталиране за определени дейности.

„Установихме, че някои от тези фирми се използват за различни техники за монетизиране, като например силно зареждане на реклами с помощта на безшумните плъгини, прокарани на заразените телефони, реклами за смарт телевизия и приложения за Google play със скрити реклами“, според анализа на Trend Micro. „Смятаме, че операциите  могат да бъдат и случай на кражба на информация от заразеното устройство, която да се използва за събиране на големи обеми от данни, преди да се продаде на други извършители като друга схема за монетизиране след заразяването.“

Източник: DARKReading

Подобни публикации

5 декември 2023

СМС измамите - как да се предпазим

Получавали ли сте някога нежелано текстово съобщение, което обещава...
4 декември 2023

Ирански хакери превземат контролери на водни съ...

Критичната инфраструктура в няколко американски щата може да е била...
4 декември 2023

Рансъмуерът е безмилостен: какво можете да напр...

Не само, че броят на рансъмуерите се увеличава, но този вид зловред...
3 декември 2023

Свалянето на Qakbot: Смекчаване на последиците ...

Министерството на правосъдието на САЩ и ФБР наскоро си сътрудничиха...
2 декември 2023

Владимир Дунаев е осъден за създаването на злов...

Министерството на правосъдието на САЩ обяви, че руски гражданин е п...
2 декември 2023

Клиентите на онлайн туристическата агенция Book...

Една от най-големите онлайн туристически агенции в света – Booking....
2 декември 2023

Националната ядрена лаборатория на Айдахо е бил...

Националната лаборатория на Айдахо (INL), една от 17-те национални ...
1 декември 2023

Енергийни смущения, свързани с киберсигурността

Експерти по сигурността предупреждават, че операторите на петролни ...
Бъдете социални
Още по темата
30/11/2023

Dollar Tree е жертва на нар...

Веригата дисконтови магазини Dollar Tree беше...
29/11/2023

Ирански хакери експлоатират...

Агенцията за киберсигурност и инфраструктура в...
28/11/2023

Хакери компрометираха чувст...

Rivers Casino Des Plaines е засегнато...
Последно добавени
05/12/2023

СМС измамите - как да се пр...

Получавали ли сте някога нежелано текстово...
04/12/2023

Ирански хакери превземат ко...

Критичната инфраструктура в няколко американски щата...
04/12/2023

Рансъмуерът е безмилостен: ...

Не само, че броят на рансъмуерите...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!