Партизанское вредоносное ПО дремлет на миллионах Android-устройств

Lemon Group, киберпреступная организация, успешно внедрила вредоносное ПО Guerrilla примерно на 8,9 млн устройств на базе Android по всему миру, включая смартфоны, часы, телевизоры и телевизионные приставки. Trend Micro, компания по кибербезопасности, раскрыла эту информацию в недавнем отчете.

Вредоносная программа Guerrilla обладает различными возможностями, такими как загрузка дополнительных вредоносных программ, перехват одноразовых паролей (OTP), отправленных по SMS, установка обратного прокси-сервера через зараженное устройство и проникновение в сеансы WhatsApp.

По данным исследователей Trend Micro, зараженные устройства превращаются в мобильные прокси-серверы, которые служат инструментами для кражи и продажи SMS-сообщений, аккаунтов в социальных сетях и онлайн-мессенджерах, а также для получения дохода за счет рекламы и мошенничества с кликами. Эти выводы были представлены в отчете на недавней конференции BlackHat Asia.

Вредоносное ПО было распространено по всему миру, зараженные устройства были обнаружены более чем в 180 странах, включая США, Мексику, Индонезию, Таиланд, Россию, Южную Африку, Индию, Анголу, Филиппины и Аргентину.

Атака на цепочку поставок, используемая для внедрения партизанской войны

Наличие вредоносного ПО на устройствах Android можно объяснить участием третьих лиц, нанятых производителями для улучшения стандартных образов системы. Trend Micro в своем анализе вредоносного ПО Guerilla обнаружила, что компания, ответственная за производство компонентов прошивки для мобильных телефонов, также создает аналогичные компоненты для Android Auto, приложения, используемого на автомобильных приборных панелях.

Это вызывает опасения относительно возможности заражения автомобильных развлекательных систем. Исследователи подчеркнули этот момент во время своего исследования. Расследование Guerilla началось после того, как появились сообщения о взломанных телефонах. Исследователи получили зараженный телефон и извлекли образ ПЗУ для судебно-медицинской экспертизы. В отчете исследователи обнаружили управляемую системную библиотеку с именем libandroid_runtime.so, которая внедрила фрагмент кода в функцию с именем println_native.

Цель внедренного кода — расшифровать файл DEX, используемый операционной системой Android для выполнения байт-кода, из раздела данных устройства и загрузить его в память. Этот файл выполняется средой выполнения Android для активации основного подключаемого модуля, используемого злоумышленниками, известного как Sloth, и предоставления его конфигурации, включая домен Lemon Group для связи.

Lemon Group в первую очередь фокусируется на использовании больших данных для анализа данных об отгрузках производителей, различного рекламного контента от разных пользователей и подробной информации об оборудовании и программном обеспечении. Это позволяет им отслеживать клиентов и потенциально заражать их другими приложениями.

Guerilla обладает значительными возможностями

Основной плагин вредоносного ПО Guerilla загружает дополнительные специализированные плагины, выполняющие определенные функции. Плагин SMS перехватывает одноразовые пароли, полученные по SMS для WhatsApp, JingDong и Facebook. Proxy Plugin устанавливает обратный прокси-сервер с зараженного устройства, позволяя злоумышленникам использовать сетевые ресурсы жертвы. Плагин cookie извлекает файлы cookie Facebook из каталога данных приложения и отправляет их на сервер C2, а также перехватывает сеансы WhatsApp для распространения нежелательных сообщений.

Кроме того, вредоносное ПО включает в себя плагин Splash, который отображает навязчивую рекламу, когда жертвы используют легитимные приложения, и плагин Silent, отвечающий за автоматическую установку или удаление APK (наборов пакетов Android), полученных с сервера C2. Установка и запуск этих приложений происходят незаметно в фоновом режиме.