Η ομάδα hacking Lemon Group έχει προεγκαταστήσει το Guerilla malware σε Android συσκευές

Μια μεγάλη επιχείρηση κυβερνοεγκλήματος, που εντοπίζεται ως “Lemon Group”, φέρεται να έχει προεγκαταστήσει κακόβουλο λογισμικό γνωστό ως “Guerilla” σε σχεδόν εννέα εκατομμύρια smartphones, ρολόγια, τηλεοράσεις και τηλεοπτικά κουτιά που βασίζονται σε Android.

Δείτε επίσης: Η νέα καμπάνια DownEx malware στοχεύει την Κεντρική Ασία

Οι απειλητικοί φορείς χρησιμοποιούν το Guerilla για να φορτώσουν πρόσθετα ωφέλιμα φορτία, να υποκλέψουν κωδικούς πρόσβασης μιας χρήσης από μηνύματα SMS, να εγκαταστήσουν έναν reverse proxy από τη μολυσμένη συσκευή, να υποκλέψουν συνεδρίες WhatsApp και άλλα.

Σύμφωνα με έκθεση της Trend Micro, οι αναλυτές της οποίας ανακάλυψαν την τεράστια εγκληματική επιχείρηση και παρουσίασαν λεπτομέρειες σχετικά με αυτήν στο πρόσφατο συνέδριο Black Hat Asia, ορισμένες από τις υποδομές των επιτιθέμενων επικαλύπτονται με την επιχείρηση Triada trojan από το 2016.

Το Triada ήταν ένα banking trojan, το οποίο βρέθηκε προεγκατεστημένο σε 42 μοντέλα smartphone Android από κινεζικές μάρκες χαμηλού κόστους που πωλούν τα προϊόντα τους παγκοσμίως.

Η Trend Micro δήλωσε ότι εξέθεσε αρχικά την ομάδα Lemon τον Φεβρουάριο του 2022 και λίγο αργότερα, η ομάδα φέρεται να μετονομάστηκε σε “Durian Cloud SMS”. Παρ’ όλα αυτά, η υποδομή και οι στρατηγικές των επιτιθέμενων παρέμειναν αμετάβλητες.

Δείτε επίσης: LayerZero: Λανσάρει πρόγραμμα επιβράβευσης crypto bug που προσφέρει $15M

Εμφύτευση του malware

Η Trend Micro δεν έχει διευκρινίσει πώς η Lemon Group μολύνει τις συσκευές με το κακόβουλο firmware που περιέχει το Guerilla, αλλά διευκρίνισε ότι οι συσκευές που εξέτασαν οι αναλυτές της είχαν επανεμφανιστεί με νέες ROM.

Οι αναλυτές εντόπισαν πάνω από πενήντα διαφορετικά ROMs που έχουν μολυνθεί με αρχικούς φορτωτές κακόβουλου λογισμικού, με στόχο διάφορους προμηθευτές Android συσκευών.

Πιθανοί τρόποι για να επιτευχθεί αυτή η παραβίαση περιλαμβάνουν επιθέσεις στην αλυσίδα εφοδιασμού, παραβίαση του λογισμικού τρίτων, παραβίαση της διαδικασίας ενημέρωσης firmware ή χρησιμοποίηση εσωτερικών προσώπων στην αλυσίδα κατασκευής ή διανομής προϊόντων.

Η Trend Micro αναφέρει ότι αρχικά αγόρασε ένα τηλέφωνο Android και εξήγαγε το “ROM image” του για να ανακαλύψει το τροποποιημένο firmware που είχε εμφυτευτεί από το Lemon Group.

Αυτή η συσκευή είχε μια τροποποίηση στη βιβλιοθήκη συστήματος ‘libandroid_runtime.so’ που περιείχε πρόσθετο κώδικα για την αποκρυπτογράφηση και την εκτέλεση ενός αρχείου DEX.

Ο κώδικας του αρχείου DEX φορτώνεται στη μνήμη και εκτελείται από το Android Runtime για την ενεργοποίηση του κύριου plugin που χρησιμοποιείται από τους επιτιθέμενους, το οποίο ονομάζεται “Sloth”, και παρέχει και τη διαμόρφωσή του, η οποία περιέχει ένα Lemon Group domain που θα χρησιμοποιείται για τις επικοινωνίες.

Δείτε επίσης: ChatGPT apps ήταν στην πραγματικότητα fleeceware – Διαγράψτε τα τώρα!

Το Guerrilla malware

Το κύριο plugin για το Guerrilla malware φορτώνει πρόσθετα plugin που είναι αφιερωμένα στην εκτέλεση συγκεκριμένων λειτουργιών, όπως:

• SMS Plugin: Κλείνει τους κωδικούς πρόσβασης μιας χρήσης για WhatsApp, JingDong και Facebook που λαμβάνονται μέσω SMS.
• Proxy Plugin: Ρυθμίζει έναν reverse proxy από το μολυσμένο τηλέφωνο που επιτρέπει στους εισβολείς να χρησιμοποιούν τους πόρους δικτύου του θύματος.
• Cookie Plugin: Αποσπά τα cookies του Facebook από τον κατάλογο δεδομένων της εφαρμογής και τα εξάγει στον διακομιστή C2. Επίσης, κάνει hijack στα hijacks WhatsApp sessions για να διαδώσει ανεπιθύμητα μηνύματα από την παραβιασμένη συσκευή.
• Splash Plugin: Εμφανίζει παρεμβατικές διαφημίσεις στα θύματα όταν χρησιμοποιούν νόμιμες εφαρμογές.
• Silent Plugin: Εγκαθιστά πρόσθετα APK που λαμβάνονται από τον C2 server ή απεγκαθιστά υπάρχουσες εφαρμογές σύμφωνα με τις οδηγίες. Η εγκατάσταση και η εκκίνηση της εφαρμογής γίνεται «αθόρυβα» με την έννοια ότι γίνονται στο παρασκήνιο.

Αυτές οι λειτουργίες επιτρέπουν στο Lemon Group να δημιουργήσει μια διαφορετική στρατηγική κερδοφορίας που θα μπορούσε να περιλαμβάνει την πώληση παραβιασμένων λογαριασμών, το hack των πόρων του δικτύου, την προσφορά υπηρεσιών εγκατάστασης εφαρμογών, τη δημιουργία δόλιων διαφημιστικών εμφανίσεων, την παροχή υπηρεσιών proxy και την προσφορά υπηρεσιών SMS Phone Verified Accounts (PVA).

Παγκόσμια επίδραση

Η Trend Micro αναφέρει ότι η ομάδα Lemon Group είχε προηγουμένως ισχυριστεί στον ιστότοπο παροχής υπηρεσιών ότι ελέγχει σχεδόν εννέα εκατομμύρια συσκευές σε 180 χώρες, με τις Ηνωμένες Πολιτείες, το Μεξικό, την Ινδονησία, την Ταϊλάνδη και τη Ρωσία να επηρεάζονται περισσότερο.

Η Trend Micro υποστηρίζει ότι ο πραγματικός αριθμός των συσκευών Android που έχουν μολυνθεί με το Guerrilla μπορεί να είναι μεγαλύτερος, ωστόσο οι συσκευές αυτές δεν έχουν ακόμη επικοινωνήσει με τους servers διοίκησης και ελέγχου των επιτιθέμενων, καθώς περιμένουν ακόμη την αγορά τους.

Παρακολουθώντας τις λειτουργίες, οι αναλυτές εντόπισαν πάνω από 490.000 αριθμούς κινητών τηλεφώνων που χρησιμοποιήθηκαν για τη δημιουργία αιτήσεων κωδικού πρόσβασης μίας χρήσης για υπηρεσίες SMS PVA από JingDong, WhatsApp, Facebook, QQ, Line, Tinder και άλλες πλατφόρμες.

Ο εντοπισμός περισσότερων από μισό εκατομμύριο παραβιασμένων συσκευών που συνδέονται με μία μόνο υπηρεσία που προσφέρει αυτό το συνδικάτο κυβερνοεγκλήματος υποδηλώνει σημαντική παγκόσμια εμβέλεια των κακόβουλων επιχειρήσεών τους.

Το BleepingComputer ρώτησε την Trend Micro από πού έχει αγοράσει το προ-μολυσμένο τηλέφωνο, πώς πωλείται και ποιες μάρκες επηρεάζονται- ωστόσο, η απάντηση δεν ήταν άμεσα διαθέσιμη.

Πηγή πληροφοριών: bleepingcomputer.com