Эксперты предупреждают, что компания Lemon Group использует для своих вредоносных операций миллионы зараженных прямо «из коробки» Android-смартфонов, часов, телевизоров и телевизионных приставок.
Недавно специалисты компании Trend Micro об этой проблеме на конференции Black Hat Asia. По их информации, миллионы Android-устройств по всему миру заражаются вредоносным ПО даже не покинув завод, на котором их произвели.
Эксперты рассказали, что злоумышленники используют малварь для загрузки дополнительных пейлоадов, перехвата одноразовых паролей из SMS, настройки обратного прокси на зараженных устройствах, перехвата сеансов в WhatsApp и так далее.
По данным компании, эта активность может быть связана с деятельностью малвари Triada, известным банковским трояном, который на 42 моделях бюджетных Android-смартфонов китайских брендов еще в 2018 году.
В Trend Micro говорят, что впервые обнаружили Lemon Group в феврале 2022 года, но вскоре после этого компания была переименована в Durian Cloud SMS. Однако инфраструктура и тактика злоумышленников остались прежними.
В Trend Micro не уточняют, как именно Lemon Group заражает устройства вредоносной прошивкой, содержащей Guerilla, но подчеркивают, что изученные устройства были перепрошиты новыми ROM. Суммарно аналитики компании выявили более 50 таких ROM, содержащих загрузчики малвари и нацеленных на различных производителей Android-устройств.
Судя по всему, здесь не обходится без компрометации цепочки поставок. Например, возможна компрометация стороннего ПО, процессов обновления прошивки, а также привлечение инсайдеров на производствах или в цепочке распространения продуктов.
Эксперты рассказали, что все началось с приобретения телефона на Android и извлечения его образа ROM, где была обнаружена модифицированная прошивка, имплантированная Lemon Group. Изученное устройство имело модифицированную системную библиотеку libandroid_runtime.so, которая содержала дополнительный код для расшифровки и выполнения файла DEX.
Код этого файла DEX загружался в память и выполнялся Android Runtime для активации основного подключаемого модуля Sloth, а также его конфигурации, которая содержит адрес домена Lemon Group, использующегося для связи.
Что касается малвари Guerilla, ее основной плагин загружает на устройство жертвы дополнительные модули, предназначенные для выполнения определенных функций:
По информации Trend Micro, Lemon Group ранее заявляла на своем сайте, что контролирует почти 9 000 000 устройств в 180 странах мира. В число наиболее пострадавших стран входят США, Мексика, Индонезия, Таиланд и Россия.
Хуже того, исследователи полагают, что реальное количество Android-устройств, зараженных Guerrilla, может быть куда выше. Однако эти устройства пока не вышли на связь с управляющими серверами злоумышленников, так как все еще стоят на полках магазинов.
Также сообщается, что аналитики обнаружили более 490 000 мобильных номеров, используемых для генерации запросов одноразовых паролей для SMS PVA серсивов JingDong, WhatsApp, Facebook*, QQ, Line, Tinder и других платформ.
Недавно специалисты компании Trend Micro об этой проблеме на конференции Black Hat Asia. По их информации, миллионы Android-устройств по всему миру заражаются вредоносным ПО даже не покинув завод, на котором их произвели.
Эксперты рассказали, что злоумышленники используют малварь для загрузки дополнительных пейлоадов, перехвата одноразовых паролей из SMS, настройки обратного прокси на зараженных устройствах, перехвата сеансов в WhatsApp и так далее.
По данным компании, эта активность может быть связана с деятельностью малвари Triada, известным банковским трояном, который на 42 моделях бюджетных Android-смартфонов китайских брендов еще в 2018 году.
В Trend Micro говорят, что впервые обнаружили Lemon Group в феврале 2022 года, но вскоре после этого компания была переименована в Durian Cloud SMS. Однако инфраструктура и тактика злоумышленников остались прежними.
В Trend Micro не уточняют, как именно Lemon Group заражает устройства вредоносной прошивкой, содержащей Guerilla, но подчеркивают, что изученные устройства были перепрошиты новыми ROM. Суммарно аналитики компании выявили более 50 таких ROM, содержащих загрузчики малвари и нацеленных на различных производителей Android-устройств.
Судя по всему, здесь не обходится без компрометации цепочки поставок. Например, возможна компрометация стороннего ПО, процессов обновления прошивки, а также привлечение инсайдеров на производствах или в цепочке распространения продуктов.
Эксперты рассказали, что все началось с приобретения телефона на Android и извлечения его образа ROM, где была обнаружена модифицированная прошивка, имплантированная Lemon Group. Изученное устройство имело модифицированную системную библиотеку libandroid_runtime.so, которая содержала дополнительный код для расшифровки и выполнения файла DEX.
Код этого файла DEX загружался в память и выполнялся Android Runtime для активации основного подключаемого модуля Sloth, а также его конфигурации, которая содержит адрес домена Lemon Group, использующегося для связи.
Что касается малвари Guerilla, ее основной плагин загружает на устройство жертвы дополнительные модули, предназначенные для выполнения определенных функций:
- SMS-плагин: перехватывает одноразовые пароли для WhatsApp, JingDong и Facebook*, полученные через SMS;
- прокси-плагин: развертывает обратный прокси на зараженном телефоне, позволяя злоумышленникам использовать сетевые ресурсы жертвы;
- плагин для файлов cookie: ворует файлы cookie Facebook* из каталога данных приложения и передает их на управляющий сервер, а также перехватывает сеансы WhatsApp для распространения нежелательных сообщений со взломанного устройства;
- плагин Splash: показывает навязчивую рекламу жертвам, когда те используют легитимные приложения;
- silent-плагин: устанавливает дополнительные APK-файлы, полученные с сервера, или удаляет существующие приложения в соответствии с инструкциями, при этом установка и запуск приложений происходят в фоновом режиме.
По информации Trend Micro, Lemon Group ранее заявляла на своем сайте, что контролирует почти 9 000 000 устройств в 180 странах мира. В число наиболее пострадавших стран входят США, Мексика, Индонезия, Таиланд и Россия.
Хуже того, исследователи полагают, что реальное количество Android-устройств, зараженных Guerrilla, может быть куда выше. Однако эти устройства пока не вышли на связь с управляющими серверами злоумышленников, так как все еще стоят на полках магазинов.
Также сообщается, что аналитики обнаружили более 490 000 мобильных номеров, используемых для генерации запросов одноразовых паролей для SMS PVA серсивов JingDong, WhatsApp, Facebook*, QQ, Line, Tinder и других платформ.
