Η Lemon Group, μια σημαντική οργάνωση ηλεκτρονικού εγκλήματος, φέρεται να έχει εγκαταστήσει κακόβουλο λογισμικό με την ονομασία “Guerilla” σε σχεδόν 9 εκατομμύρια – 8.9 εκατομμύρια για την ακρίβεια – συσκευές Android, συμπεριλαμβανομένων smartphones, smartwatches, τηλεοράσεις, και TV boxes, σε όλο τον κόσμο.
Το κακόβουλο λογισμικό αξιοποιείται από τους απατεώνες για την εκτέλεση διαφόρων κακόβουλων δραστηριοτήτων, όπως η φόρτωση πρόσθετων payload, η υποκλοπή κωδικών πρόσβασης μιας χρήσης από SMS, η δημιουργία reverse proxy από τη μολυσμένη συσκευή, η υποκλοπή συνομιλιών WhatsApp, και άλλες παρόμοιες ενέργειες.
Η έρευνα, η οποία παρουσιάστηκε πρόσφατα στο συνέδριο BlackHat Asia στη Σιγκαπούρη, περιγράφει πώς μολύνθηκαν αυτές οι συσκευές, ποια κακόβουλα πρόσθετα χρησιμοποιήθηκαν και άλλα. Οι 10 πρώτες χώρες που επηρεάζονται από το κακόβουλο λογισμικό Guerrilla είναι η Ινδία, η Αργεντινή, η Αγκόλα, η Ινδονησία, το Μεξικό, οι Φιλιππίνες, η Ρωσία, η Νότια Αφρική, η Ταϊλάνδη, και οι ΗΠΑ.
Οι αναλυτές διαπίστωσαν ότι η τεράστια εγκληματική επιχείρηση και ορισμένες από τις υποδομές των επιτιθέμενων ταιριάζουν με αυτές της επιχείρησης Triada trojan του 2016. Το Triada ήταν ένα τραπεζικό trojan που βρέθηκε σε 42 μοντέλα τηλεφώνων Android από φτηνές κινεζικές μάρκες που πωλούν τα προϊόντα τους σε όλο τον κόσμο.
Η έκθεση αναφέρει ότι έμαθαν για πρώτη φορά για την ομάδα Lemon τον Φεβρουάριο του 2022. Λίγο αργότερα, η ομάδα λέγεται ότι άλλαξε το όνομά της σε “Durian Cloud SMS”, αλλά η αρχιτεκτονική και οι μέθοδοι των επιτιθέμενων παρέμειναν οι ίδιες.
Δεν ξέρουμε πολλά για το πώς η Lemon Group μολύνει τις συσκευές με κακόβουλο υλικολογισμικό που περιλαμβάνει το Guerilla, αλλά οι συσκευές που εξέτασαν οι ειδικοί είχαν νέες ROM που είχαν γίνει re-flashed. Οι ειδικοί βρήκαν περισσότερες από 50 διαφορετικές ROM που είχαν μολυνθεί με malware loaders και αφορούσαν διαφορετικούς κατασκευαστές συσκευών Android.
Το κύριο plugin του κακόβουλου λογισμικού Guerrilla είναι υπεύθυνο για τη φόρτωση πρόσθετων plugin που έχουν δημιουργηθεί για να εκτελούν συγκεκριμένες εργασίες, όπως:
- SMS plugin: Έχει σχεδιαστεί για την υποκλοπή κωδικών πρόσβασης μιας χρήσης για το WhatsApp, το JingDong και το Facebook που λαμβάνονται μέσω SMS.
- Proxy plugin και proxy seller: Επιτρέπει στους επιτιθέμενους να χρησιμοποιούν τους δικτυακούς πόρους του θύματος δημιουργώντας έναν reverse proxy από το μολυσμένο τηλέφωνο.
- Cookie plugin/WhatsApp plugin/Send plugin και πλατφόρμα προώθησης: Έχει σχεδιαστεί για να εξάγει τα cookies του Facebook από τον φάκελο δεδομένων της εφαρμογής και να τα στέλνει στον C2 server. Η μολυσμένη συσκευή είναι ικανή να υποκλέπτει τις συνομιλίες του WhatsApp και να στέλνει ανεπιθύμητα μηνύματα.
- Plugin Splash: Πρόκειται για έναν τύπο κακόβουλου λογισμικού που εμφανίζει ενοχλητικές διαφημίσεις στους χρήστες ενώ αυτοί χρησιμοποιούν νόμιμες εφαρμογές.
- Silent plugin: Είναι ένα εργαλείο που μπορεί να εγκαταστήσει επιπλέον APK που αποστέλλονται από τον C2 server ή να αφαιρέσει υπάρχουσες εφαρμογές με βάση τις οδηγίες που δίνονται. Η εγκατάσταση και η εκκίνηση της εφαρμογής πραγματοποιούνται στο παρασκήνιο χωρίς καμία αξιοσημείωτη ένδειξη.
Με αυτά τα χαρακτηριστικά, η Lemon Group μπορεί να βρει διαφορετικούς τρόπους για να βγάλει χρήματα. Για παράδειγμα, θα μπορούσαν να πωλούν παραβιασμένους λογαριασμούς, να προσφέρουν υπηρεσίες εγκατάστασης εφαρμογών, να κάνουν ψεύτικες εμφανίσεις διαφημίσεων, να προσφέρουν υπηρεσίες proxy, να παρέχουν υπηρεσίες επαληθευμένων λογαριασμών SMS (PVA), και άλλα.
Ακολουθήστε το Techmaniacs.gr στο Google News για να διαβάζετε πρώτοι όλα τα τεχνολογικά νέα. Ένας ακόμα τρόπος να μαθαίνετε τα πάντα πρώτοι είναι να προσθέσετε το Techmaniacs.gr στον RSS feeder σας χρησιμοποιώντας τον σύνδεσμο: https://techmaniacs.gr/feed/.