„Guerilla“ kenkėjiška programa snaudžia milijonuose „Android“ įrenginių
Kibernetinių nusikaltimų organizacija „Lemon Group“ sėkmingai įdiegė „Guerrilla“ kenkėjišką programą maždaug 8,9 milijono „Android“ įrenginių visame pasaulyje, įskaitant išmaniuosius telefonus, laikrodžius, televizorius ir televizorių dėžutes. Kibernetinio saugumo bendrovė „Trend Micro“ šią informaciją atskleidė naujausioje ataskaitoje.
„Guerrilla“ kenkėjiška programa turi įvairių galimybių, pavyzdžiui, įkelia papildomą kenkėjišką programinę įrangą, perima vienkartinius slaptažodžius (OTP), siunčiamus SMS žinutėmis, sukuria atvirkštinį tarpinį serverį per užkrėstą įrenginį ir įsiskverbia į „WhatsApp“ seansus.
Pasak „Trend Micro“ tyrėjų, užkrėsti įrenginiai paverčiami mobiliaisiais tarpiniais serveriais, kurie naudojami kaip SMS žinučių, socialinių tinklų ir internetinių pranešimų paskyrų vagystės ir pardavimo įrankiai, taip pat gaunamos pajamos iš skelbimų ir sukčiavimo paspaudimais. Šios išvados buvo pateiktos ataskaitoje per neseniai vykusią BlackHat Asia konferenciją.
Kenkėjiška programa buvo platinama visame pasaulyje, o užkrėstų įrenginių rasta daugiau nei 180 šalių, įskaitant JAV, Meksiką, Indoneziją, Tailandą, Rusiją, Pietų Afriką, Indiją, Angolą, Filipinus ir Argentiną.
Tiekimo grandinės ataka, naudojama partizanų implantavimui
Kenkėjiškų programų buvimas „Android“ įrenginiuose gali būti siejamas su trečiųjų šalių, kurias gamintojai pasamdė patobulinti standartinius sistemos vaizdus, dalyvavimu. „Trend Micro“, analizuodama „Guerilla“ kenkėjišką programinę įrangą, išsiaiškino, kad įmonė, atsakinga už mobiliųjų telefonų programinės aparatinės įrangos komponentų gamybą, taip pat kuria panašius komponentus „Android Auto“, programai, naudojamai transporto priemonių prietaisų skydelio sistemose.
Tai kelia susirūpinimą dėl užkrėstų automobilių pramogų sistemų galimybės. Tyrėjai pabrėžė tai savo tyrimo metu. „Guerilla“ tyrimas buvo pradėtas po to, kai pasirodė pranešimų apie pažeistus telefonus. Tyrėjai gavo užkrėstą telefoną ir ištraukė ROM vaizdą teismo medicinos ekspertizei. Ataskaitoje mokslininkai nustatė manipuliuojamą sistemos biblioteką, pavadintą libandroid_runtime.so, kuri įvedė kodo fragmentą į funkciją, pavadintą println_native.
Įvesto kodo tikslas – iš įrenginio duomenų skyriaus iššifruoti DEX failą, naudojamą Android operacinės sistemos baito kodui vykdyti, ir įkelti jį į atmintį. Šį failą vykdo „Android Runtime“, kad suaktyvintų pagrindinį užpuolikų naudojamą papildinį, žinomą kaip „Sloth“, ir pateiktų jo konfigūraciją, įskaitant „Lemon Group“ domeną bendravimui.
„Lemon Group“ daugiausia dėmesio skiria didelių duomenų naudojimui analizuojant gamintojų siuntų duomenis, įvairų skirtingų vartotojų reklaminį turinį ir išsamią aparatinės ir programinės įrangos informaciją. Tai leidžia jiems stebėti klientus ir potencialiai užkrėsti juos kitomis programomis.
Partizanai turi reikšmingų galimybių
Pagrindinis „Guerilla“ kenkėjiškos programos papildinys įkelia papildomų tam skirtų įskiepių, kurie atlieka tam tikras funkcijas. SMS papildinys perima vienkartinius „WhatsApp“, „JingDong“ ir „Facebook“ SMS žinutėmis gautus slaptažodžius. Proxy Plugin sukuria atvirkštinį tarpinį serverį iš užkrėsto įrenginio, leidžiantį užpuolikams išnaudoti aukos tinklo išteklius. „Cookie“ papildinys nuskaito „Facebook“ slapukus iš programos duomenų katalogo ir siunčia juos į C2 serverį, taip pat užgrobdamas „WhatsApp“ seansus, kad būtų platinami nepageidaujami pranešimai.
Be to, kenkėjiška programa apima „Splash“ papildinį, kuris rodo įkyrias reklamas, o aukos naudoja teisėtas programas, ir „Silent Plugin“, atsakingą už tylų APK („Android“ paketų rinkinių), gautų iš C2 serverio, įdiegimą arba pašalinimą. Šios programos įdiegiamos ir paleidžiamos diskretiškai fone.
