Эксперты предупреждают, что компания Lemon Group использует для своих вредоносных операций миллионы зараженных прямо «из коробки» Android-смартфонов, часов, телевизоров и телевизионных приставок.
Недавно специалисты компании Trend Micro рассказывали об этой проблеме на конференции Black Hat Asia. По их информации, миллионы Android-устройств по всему миру заражаются вредоносным ПО даже не покинув завод, на котором их произвели.
Теперь компании опубликовала детальный отчет о таких заражениях, в котором рассказывает об активности Lemon Group.
Эксперты рассказали, что злоумышленники используют малварь Guerilla для загрузки дополнительных пейлоадов, перехвата одноразовых паролей из SMS, настройки обратного прокси на зараженных устройствах, перехвата сеансов в WhatsApp и так далее.
По данным компании, эта активность может быть связана с деятельностью малвари Triada, известным банковским трояном, который был предустановлен на 42 моделях бюджетных Android-смартфонов китайских брендов еще в 2018 году.
В Trend Micro говорят, что впервые обнаружили Lemon Group в феврале 2022 года, но вскоре после этого компания была переименована в Durian Cloud SMS. Однако инфраструктура и тактика злоумышленников остались прежними.
«Мы выявили ряд видов бизнеса, которые Lemon Group выполняет для компаний, занимающихся big data, маркетингом и рекламой, но основной ее бизнес сосредоточен именно на использовании big data: анализе огромных объемов данных и соответствующих характеристик поставок производителей, различного рекламного контента, полученного от разных пользователей в разное время, а также данных об аппаратном обеспечении», — пишут исследователи.
В Trend Micro не уточняют, как именно Lemon Group заражает устройства вредоносной прошивкой, содержащей Guerilla, но подчеркивают, что изученные устройства были перепрошиты новыми ROM. Суммарно аналитики компании выявили более 50 таких ROM, содержащих загрузчики малвари и нацеленных на различных производителей Android-устройств.
Судя по всему, здесь не обходится без компрометации цепочки поставок. Например, возможна компрометация стороннего ПО, процессов обновления прошивки, а также привлечение инсайдеров на производствах или в цепочке распространения продуктов.
«Преступная группа заразила миллионы устройств на базе Android. В основном это мобильные телефоны, но также встречаются смарт-часы, смарт-телевизоры и многое другое, — сообщают в компании. — Заражение превращает эти устройства в мобильные прокси, инструменты для кражи и продажи SMS-сообщений, данных из социальных сетей и мессенджеров, а также для монетизации с помощью рекламы и кликфрода».
Эксперты рассказали, что все началось с приобретения телефона на Android и извлечения его образа ROM, где была обнаружена модифицированная прошивка, имплантированная Lemon Group. Изученное устройство имело модифицированную системную библиотеку libandroid_runtime.so, которая содержала дополнительный код для расшифровки и выполнения файла DEX.
Код этого файла DEX загружался в память и выполнялся Android Runtime для активации основного подключаемого модуля Sloth, а также его конфигурации, которая содержит адрес домена Lemon Group, использующегося для связи.
Что касается малвари Guerilla, ее основной плагин загружает на устройство жертвы дополнительные модули, предназначенные для выполнения определенных функций:
- SMS-плагин: перехватывает одноразовые пароли для WhatsApp, JingDong и Facebook*, полученные через SMS;
- прокси-плагин: развертывает обратный прокси на зараженном телефоне, позволяя злоумышленникам использовать сетевые ресурсы жертвы;
- плагин для файлов cookie: ворует файлы cookie Facebook* из каталога данных приложения и передает их на управляющий сервер, а также перехватывает сеансы WhatsApp для распространения нежелательных сообщений со взломанного устройства;
- плагин Splash: показывает навязчивую рекламу жертвам, когда те используют легитимные приложения;
- silent-плагин: устанавливает дополнительные APK-файлы, полученные с сервера, или удаляет существующие приложения в соответствии с инструкциями, при этом установка и запуск приложений происходят в фоновом режиме.
В итоге эти функции позволяют Lemon Group использовать разные стратегии монетизации, включая продажу скомпрометированных учетных записей, захват сетевых ресурсов, услуги по установке приложений, кликфрод, прокси-сервисы, а также предоставление проверенных учетных записей (SMS Phone Verified Accounts).
По информации Trend Micro, Lemon Group ранее заявляла на своем сайте, что контролирует почти 9 000 000 устройств в 180 странах мира. В число наиболее пострадавших стран входят США, Мексика, Индонезия, Таиланд и Россия.
«Посредством данных нашей телеметрии мы подтвердили, что в мире работают миллионы зараженных устройств. Основной кластер этих устройств расположен в Юго-Восточной Азии и Восточной Европе, однако это действительно глобальная проблема», — говорят в Trend Micro.
Хуже того, исследователи полагают, что реальное количество Android-устройств, зараженных Guerrilla, может быть куда выше. Однако эти устройства пока не вышли на связь с управляющими серверами злоумышленников, так как все еще стоят на полках магазинов.
Также сообщается, что аналитики обнаружили более 490 000 мобильных номеров, используемых для генерации запросов одноразовых паролей для SMS PVA серсивов JingDong, WhatsApp, Facebook*, QQ, Line, Tinder и других платформ.
* Принадлежит компании Meta, чья деятельность признанна экстремисткой и запрещена в России.
