Μια μεγάλη επιχείρηση κυβερνοεγκλήματος, που εντοπίζεται ως “Lemon Group”, φέρεται να έχει προεγκαταστήσει κακόβουλο λογισμικό γνωστό ως “Guerilla” σε σχεδόν εννέα εκατομμύρια smartphones, ρολόγια, τηλεοράσεις και τηλεοπτικά κουτιά που βασίζονται σε Android.

Οι απειλητικοί φορείς χρησιμοποιούν το Guerilla για να φορτώσουν πρόσθετα ωφέλιμα φορτία, να υποκλέψουν κωδικούς πρόσβασης μιας χρήσης από μηνύματα SMS, να εγκαταστήσουν έναν reverse proxy από τη μολυσμένη συσκευή, να υποκλέψουν συνεδρίες WhatsApp και άλλα.

Σύμφωνα με έκθεση της Trend Micro, οι αναλυτές της οποίας ανακάλυψαν την τεράστια εγκληματική επιχείρηση και παρουσίασαν λεπτομέρειες σχετικά με αυτήν στο πρόσφατο συνέδριο Black Hat Asia, ορισμένες από τις υποδομές των επιτιθέμενων επικαλύπτονται με την επιχείρηση Triada trojan από το 2016.

Το Triada ήταν ένα banking trojan, το οποίο βρέθηκε προεγκατεστημένο σε 42 μοντέλα smartphone Android από κινεζικές μάρκες χαμηλού κόστους που πωλούν τα προϊόντα τους παγκοσμίως.

Η Trend Micro δήλωσε ότι εξέθεσε αρχικά την ομάδα Lemon τον Φεβρουάριο του 2022 και λίγο αργότερα, η ομάδα φέρεται να μετονομάστηκε σε “Durian Cloud SMS”. Παρ’ όλα αυτά, η υποδομή και οι στρατηγικές των επιτιθέμενων παρέμειναν αμετάβλητες.

Εμφύτευση του malware

Η Trend Micro δεν έχει διευκρινίσει πώς η Lemon Group μολύνει τις συσκευές με το κακόβουλο firmware που περιέχει το Guerilla, αλλά διευκρίνισε ότι οι συσκευές που εξέτασαν οι αναλυτές της είχαν επανεμφανιστεί με νέες ROM.

Οι αναλυτές εντόπισαν πάνω από πενήντα διαφορετικά ROMs που έχουν μολυνθεί με αρχικούς φορτωτές κακόβουλου λογισμικού, με στόχο διάφορους προμηθευτές Android συσκευών.

Πιθανοί τρόποι για να επιτευχθεί αυτή η παραβίαση περιλαμβάνουν επιθέσεις στην αλυσίδα εφοδιασμού, παραβίαση του λογισμικού τρίτων, παραβίαση της διαδικασίας ενημέρωσης firmware ή χρησιμοποίηση εσωτερικών προσώπων στην αλυσίδα κατασκευής ή διανομής προϊόντων.

Η Trend Micro αναφέρει ότι αρχικά αγόρασε ένα τηλέφωνο Android και εξήγαγε το “ROM image” του για να ανακαλύψει το τροποποιημένο firmware που είχε εμφυτευτεί από το Lemon Group.

Αυτή η συσκευή είχε μια τροποποίηση στη βιβλιοθήκη συστήματος ‘libandroid_runtime.so’ που περιείχε πρόσθετο κώδικα για την αποκρυπτογράφηση και την εκτέλεση ενός αρχείου DEX.

Ο κώδικας του αρχείου DEX φορτώνεται στη μνήμη και εκτελείται από το Android Runtime για την ενεργοποίηση του κύριου plugin που χρησιμοποιείται από τους επιτιθέμενους, το οποίο ονομάζεται “Sloth”, και παρέχει και τη διαμόρφωσή του, η οποία περιέχει ένα Lemon Group domain που θα χρησιμοποιείται για τις επικοινωνίες.

Το Guerrilla malware

Το κύριο plugin για το Guerrilla malware φορτώνει πρόσθετα plugin που είναι αφιερωμένα στην εκτέλεση συγκεκριμένων λειτουργιών, όπως:

  • SMS Plugin: Κλείνει τους κωδικούς πρόσβασης μιας χρήσης για WhatsApp, JingDong και Facebook που λαμβάνονται μέσω SMS.
  • Proxy Plugin: Ρυθμίζει έναν reverse proxy από το μολυσμένο τηλέφωνο που επιτρέπει στους εισβολείς να χρησιμοποιούν τους πόρους δικτύου του θύματος.
  • Cookie Plugin: Αποσπά τα cookies του Facebook από τον κατάλογο δεδομένων της εφαρμογής και τα εξάγει στον διακομιστή C2. Επίσης, κάνει hijack στα hijacks WhatsApp sessions για να διαδώσει ανεπιθύμητα μηνύματα από την παραβιασμένη συσκευή.
  • Splash Plugin: Εμφανίζει παρεμβατικές διαφημίσεις στα θύματα όταν χρησιμοποιούν νόμιμες εφαρμογές.
  • Silent Plugin: Εγκαθιστά πρόσθετα APK που λαμβάνονται από τον C2 server ή απεγκαθιστά υπάρχουσες εφαρμογές σύμφωνα με τις οδηγίες. Η εγκατάσταση και η εκκίνηση της εφαρμογής γίνεται «αθόρυβα» με την έννοια ότι γίνονται στο παρασκήνιο.

Αυτές οι λειτουργίες επιτρέπουν στο Lemon Group να δημιουργήσει μια διαφορετική στρατηγική κερδοφορίας που θα μπορούσε να περιλαμβάνει την πώληση παραβιασμένων λογαριασμών, το hack των πόρων του δικτύου, την προσφορά υπηρεσιών εγκατάστασης εφαρμογών, τη δημιουργία δόλιων διαφημιστικών εμφανίσεων, την παροχή υπηρεσιών proxy και την προσφορά υπηρεσιών SMS Phone Verified Accounts (PVA).

Παγκόσμια επίδραση

Η Trend Micro αναφέρει ότι η ομάδα Lemon Group είχε προηγουμένως ισχυριστεί στον ιστότοπο παροχής υπηρεσιών ότι ελέγχει σχεδόν εννέα εκατομμύρια συσκευές σε 180 χώρες, με τις Ηνωμένες Πολιτείες, το Μεξικό, την Ινδονησία, την Ταϊλάνδη και τη Ρωσία να επηρεάζονται περισσότερο.

Η Trend Micro υποστηρίζει ότι ο πραγματικός αριθμός των συσκευών Android που έχουν μολυνθεί με το Guerrilla μπορεί να είναι μεγαλύτερος, ωστόσο οι συσκευές αυτές δεν έχουν ακόμη επικοινωνήσει με τους servers διοίκησης και ελέγχου των επιτιθέμενων, καθώς περιμένουν ακόμη την αγορά τους.

Παρακολουθώντας τις λειτουργίες, οι αναλυτές εντόπισαν πάνω από 490.000 αριθμούς κινητών τηλεφώνων που χρησιμοποιήθηκαν για τη δημιουργία αιτήσεων κωδικού πρόσβασης μίας χρήσης για υπηρεσίες SMS PVA από JingDong, WhatsApp, Facebook, QQ, Line, Tinder και άλλες πλατφόρμες.

Ο εντοπισμός περισσότερων από μισό εκατομμύριο παραβιασμένων συσκευών που συνδέονται με μία μόνο υπηρεσία που προσφέρει αυτό το συνδικάτο κυβερνοεγκλήματος υποδηλώνει σημαντική παγκόσμια εμβέλεια των κακόβουλων επιχειρήσεών τους.

Το BleepingComputer ρώτησε την Trend Micro από πού έχει αγοράσει το προ-μολυσμένο τηλέφωνο, πώς πωλείται και ποιες μάρκες επηρεάζονται- ωστόσο, η απάντηση δεν ήταν άμεσα διαθέσιμη.

Πηγή: bleepingcomputer.com

Tags:

Αφήστε ένα Σχόλιο

Το e-mail σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Διαβάστε επίσης

New Decoy Dog Malware Toolkit Uncovered: Targeting Enterprise Networks

An analysis of over 70 billion DNS records has led to the discovery of a new sophisticated malware toolkit dubbed Decoy Dog targeting enterprise networks.

U.S. and U.K. Warn of Russian Hackers Exploiting Cisco Router Flaws for Espionage

U.K. and U.S. cybersecurity and intelligence agencies have warned of Russian nation-state actors exploiting now-patched flaws in networking equipment from Cisco to conduct reconnaissance and deploy malware against select targets.

Chinese Hackers Spotted Using Linux Variant of PingPull in Targeted Cyberattacks

The Chinese nation-state group dubbed Alloy Taurus is using a Linux variant of a backdoor called PingPull as well as a new undocumented tool codenamed Sword2033.