Малварь Guerrilla предустановили на 9 млн смартфонов по всему миру - «Новости» » Интернет технологии
sitename
Марсоход NASA Curiosity показал странную «паутину» на поверхности Марса — ранее её обнаружили с орбиты - «Новости сети»
Марсоход NASA Curiosity показал странную «паутину» на поверхности Марса — ранее её обнаружили с орбиты - «Новости сети»
 Лень британских учёных обернулась открытием лучших в мире натрий-ионных аккумуляторов - «Новости сети»
Лень британских учёных обернулась открытием лучших в мире натрий-ионных аккумуляторов - «Новости сети»
 Samsung представила Galaxy S26 Ultra — флагман с антишпионским экраном и ценой от 125 000 рублей - «Новости сети»
Samsung представила Galaxy S26 Ultra — флагман с антишпионским экраном и ценой от 125 000 рублей - «Новости сети»
 Microsoft «передумала» отказываться от поддержки устаревших принтеров в Windows 11 - «Новости сети»
Microsoft «передумала» отказываться от поддержки устаревших принтеров в Windows 11 - «Новости сети»
 «Абсолютно роскошно»: художник заворожил фанатов The Elder Scrolls V: Skyrim воссозданием Забытой долины на Unreal Engine 5 - «Новости сети»
«Абсолютно роскошно»: художник заворожил фанатов The Elder Scrolls V: Skyrim воссозданием Забытой долины на Unreal Engine 5 - «Новости сети»
 Бэкдоры LuciDoor и MarsSnake применяются для атак на телекомы в Кыргызстане и Таджикистане - «Новости»
Бэкдоры LuciDoor и MarsSnake применяются для атак на телекомы в Кыргызстане и Таджикистане - «Новости»
 ZeroDayRAT позволяет полностью скомпрометировать устройства на iOS и Android - «Новости»
ZeroDayRAT позволяет полностью скомпрометировать устройства на iOS и Android - «Новости»
 ИБ-специалисты заподозрили, что HackerOne использует их отчеты для обучения ИИ - «Новости»
ИБ-специалисты заподозрили, что HackerOne использует их отчеты для обучения ИИ - «Новости»
 Reuters: США создают онлайн-портал для обхода цензуры в ЕС и других странах - «Новости»
Reuters: США создают онлайн-портал для обхода цензуры в ЕС и других странах - «Новости»
 Android-малварь PromptSpy использует Gemini в своих атаках - «Новости»
Android-малварь PromptSpy использует Gemini в своих атаках - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Малварь Guerrilla предустановили на 9 млн смартфонов по всему миру - «Новости»

✔Малварь Guerrilla предустановили на 9 млн смартфонов по всему миру - «Новости»

21 мая 2023 753 Новости / Преимущества стилей / Изображения / Отступы и поля / Видео уроки / Самоучитель CSS / Текст 0

Эксперты предупреждают, что компания Lemon Group использует для своих вредоносных операций миллионы зараженных прямо «из коробки» Android-смартфонов, часов, телевизоров и телевизионных приставок.


Недавно специалисты компании Trend Micro рассказывали об этой проблеме на конференции Black Hat Asia. По их информации, миллионы Android-устройств по всему миру заражаются вредоносным ПО даже не покинув завод, на котором их произвели.


Теперь компании опубликовала детальный отчет о таких заражениях, в котором рассказывает об активности Lemon Group.


Эксперты рассказали, что злоумышленники используют малварь Guerilla для загрузки дополнительных пейлоадов, перехвата одноразовых паролей из SMS, настройки обратного прокси на зараженных устройствах, перехвата сеансов в WhatsApp и так далее.


По данным компании, эта активность может быть связана с деятельностью малвари Triada, известным банковским трояном, который был предустановлен на 42 моделях бюджетных Android-смартфонов китайских брендов еще в 2018 году.


В Trend Micro говорят, что впервые обнаружили Lemon Group в феврале 2022 года, но вскоре после этого компания была переименована в Durian Cloud SMS. Однако инфраструктура и тактика злоумышленников остались прежними.


«Мы выявили ряд видов бизнеса, которые Lemon Group выполняет для компаний, занимающихся big data, маркетингом и рекламой, но основной ее бизнес сосредоточен именно на использовании big dаta: анализе огромных объемов данных и соответствующих характеристик поставок производителей, различного рекламного контента, полученного от разных пользователей в разное время, а также данных об аппаратном обеспечении», — пишут исследователи.


В Trend Micro не уточняют, как именно Lemon Group заражает устройства вредоносной прошивкой, содержащей Guerilla, но подчеркивают, что изученные устройства были перепрошиты новыми ROM. Суммарно аналитики компании выявили более 50 таких ROM, содержащих загрузчики малвари и нацеленных на различных производителей Android-устройств.


Судя по всему, здесь не обходится без компрометации цепочки поставок. Например, возможна компрометация стороннего ПО, процессов обновления прошивки, а также привлечение инсайдеров на производствах или в цепочке распространения продуктов.


«Преступная группа заразила миллионы устройств на базе Android. В основном это мобильные телефоны, но также встречаются смарт-часы, смарт-телевизоры и многое другое, — сообщают в компании. — Заражение превращает эти устройства в мобильные прокси, инструменты для кражи и продажи SMS-сообщений, данных из социальных сетей и мессенджеров, а также для монетизации с помощью рекламы и кликфрода».


Эксперты рассказали, что все началось с приобретения телефона на Android и извлечения его образа ROM, где была обнаружена модифицированная прошивка, имплантированная Lemon Group. Изученное устройство имело модифицированную системную библиотеку libandroid_runtime.so, которая содержала дополнительный код для расшифровки и выполнения файла DEX.


Код этого файла DEX загружался в память и выполнялся Android Runtime для активации основного подключаемого модуля Sloth, а также его конфигурации, которая содержит адрес домена Lemon Group, использующегося для связи.





Что касается малвари Guerilla, ее основной плагин загружает на устройство жертвы дополнительные модули, предназначенные для выполнения определенных функций:



  • SMS-плагин: перехватывает одноразовые пароли для WhatsApp, JingDong и Facebook*, полученные через SMS;

  • прокси-плагин: развертывает обратный прокси на зараженном телефоне, позволяя злоумышленникам использовать сетевые ресурсы жертвы;

  • плагин для файлов cookie: ворует файлы cookie Facebook* из каталога данных приложения и передает их на управляющий сервер, а также перехватывает сеансы WhatsApp для распространения нежелательных сообщений со взломанного устройства;

  • плагин Splash: показывает навязчивую рекламу жертвам, когда те используют легитимные приложения;

  • silent-плагин: устанавливает дополнительные APK-файлы, полученные с сервера, или удаляет существующие приложения в соответствии с инструкциями, при этом установка и запуск приложений происходят в фоновом режиме.


В итоге эти функции позволяют Lemon Group использовать разные стратегии монетизации, включая продажу скомпрометированных учетных записей, захват сетевых ресурсов, услуги по установке приложений, кликфрод, прокси-сервисы, а также предоставление проверенных учетных записей (SMS Phone Verified Accounts).





По информации Trend Micro, Lemon Group ранее заявляла на своем сайте, что контролирует почти 9 000 000 устройств в 180 странах мира. В число наиболее пострадавших стран входят США, Мексика, Индонезия, Таиланд и Россия.


«Посредством данных нашей телеметрии мы подтвердили, что в мире работают миллионы зараженных устройств. Основной кластер этих устройств расположен в Юго-Восточной Азии и Восточной Европе, однако это действительно глобальная проблема», — говорят в Trend Micro.


Хуже того, исследователи полагают, что реальное количество Android-устройств, зараженных Guerrilla, может быть куда выше. Однако эти устройства пока не вышли на связь с управляющими серверами злоумышленников, так как все еще стоят на полках магазинов.


Также сообщается, что аналитики обнаружили более 490 000 мобильных номеров, используемых для генерации запросов одноразовых паролей для SMS PVA серсивов JingDong, WhatsApp, Facebook*, QQ, Line, Tinder и других платформ.


* Принадлежит компании Meta, чья деятельность признанна экстремисткой и запрещена в России.


Эксперты предупреждают, что компания Lemon Group использует для своих вредоносных операций миллионы зараженных прямо «из коробки» Android-смартфонов, часов, телевизоров и телевизионных приставок. Недавно специалисты компании Trend Micro рассказывали об этой проблеме на конференции Black Hat Asia. По их информации, миллионы Android-устройств по всему миру заражаются вредоносным ПО даже не покинув завод, на котором их произвели. Теперь компании опубликовала детальный отчет о таких заражениях, в котором рассказывает об активности Lemon Group. Эксперты рассказали, что злоумышленники используют малварь Guerilla для загрузки дополнительных пейлоадов, перехвата одноразовых паролей из SMS, настройки обратного прокси на зараженных устройствах, перехвата сеансов в WhatsApp и так далее. По данным компании, эта активность может быть связана с деятельностью малвари Triada, известным банковским трояном, который был предустановлен на 42 моделях бюджетных Android-смартфонов китайских брендов еще в 2018 году. В Trend Micro говорят, что впервые обнаружили Lemon Group в феврале 2022 года, но вскоре после этого компания была переименована в Durian Cloud SMS. Однако инфраструктура и тактика злоумышленников остались прежними. «Мы выявили ряд видов бизнеса, которые Lemon Group выполняет для компаний, занимающихся big data, маркетингом и рекламой, но основной ее бизнес сосредоточен именно на использовании big dаta: анализе огромных объемов данных и соответствующих характеристик поставок производителей, различного рекламного контента, полученного от разных пользователей в разное время, а также данных об аппаратном обеспечении», — пишут исследователи. В Trend Micro не уточняют, как именно Lemon Group заражает устройства вредоносной прошивкой, содержащей Guerilla, но подчеркивают, что изученные устройства были перепрошиты новыми ROM. Суммарно аналитики компании выявили более 50 таких ROM, содержащих загрузчики малвари и нацеленных на различных производителей Android-устройств. Судя по всему, здесь не обходится без компрометации цепочки поставок. Например, возможна компрометация стороннего ПО, процессов обновления прошивки, а также привлечение инсайдеров на производствах или в цепочке распространения продуктов. «Преступная группа заразила миллионы устройств на базе Android. В основном это мобильные телефоны, но также встречаются смарт-часы, смарт-телевизоры и многое другое, — сообщают в компании. — Заражение превращает эти устройства в мобильные прокси, инструменты для кражи и продажи SMS-сообщений, данных из социальных сетей и мессенджеров, а также для монетизации с помощью рекламы и кликфрода». Эксперты рассказали, что все началось с приобретения телефона на Android и извлечения его образа ROM, где была обнаружена модифицированная прошивка, имплантированная Lemon Group. Изученное устройство имело модифицированную системную библиотеку libandroid_runtime.so, которая содержала дополнительный код для расшифровки и выполнения файла DEX. Код этого файла DEX загружался в память и выполнялся Android Runtime для активации основного подключаемого модуля Sloth, а также его конфигурации, которая содержит адрес домена Lemon Group, использующегося для связи. Что касается малвари Guerilla, ее основной плагин загружает на устройство жертвы дополнительные модули, предназначенные для выполнения определенных функций: SMS -плагин: перехватывает одноразовые пароли для WhatsApp, JingDong и Facebook*, полученные через SMS; прокси-плагин: развертывает обратный прокси на зараженном телефоне, позволяя злоумышленникам использовать сетевые ресурсы жертвы; плагин для файлов cookie: ворует файлы cookie Facebook* из каталога данных приложения и передает их на управляющий сервер, а также перехватывает сеансы WhatsApp для распространения нежелательных сообщений со взломанного устройства; плагин Splash: показывает навязчивую рекламу жертвам, когда те используют легитимные приложения; s ilent-плагин: устанавливает дополнительные APK-файлы, полученные с сервера, или удаляет существующие приложения в соответствии с инструкциями, при этом установка и запуск приложений происходят в фоновом режиме. В итоге эти функции позволяют Lemon Group использовать разные стратегии монетизации, включая продажу скомпрометированных учетных записей, захват сетевых ресурсов, услуги по установке приложений, кликфрод, прокси-сервисы, а также предоставление проверенных учетных записей (SMS Phone Verified Accounts). По информации Trend Micro, Lemon Group ранее заявляла на своем сайте, что контролирует почти 9 000 000 устройств в 180 странах мира. В число наиболее пострадавших стран входят США, Мексика, Индонезия, Таиланд и Россия. «Посредством данных нашей телеметрии мы подтвердили, что в мире работают миллионы зараженных устройств. Основной кластер этих устройств расположен в Юго-Восточной Азии и Восточной Европе, однако это действительно глобальная проблема», — говорят в Trend Micro. Хуже того, исследователи полагают, что реальное количество Android-устройств, зараженных Guerrilla, может быть куда выше. Однако эти устройства пока не вышли на связь с управляющими серверами злоумышленников, так как все еще стоят на полках магазинов. Также сообщается, что аналитики обнаружили более 490 000 мобильных номеров, используемых для генерации запросов одноразовых паролей для SMS PVA серсивов JingDong, WhatsApp, Facebook*, QQ, Line, Tinder и других платформ. * Принадлежит компании Meta, чья деятельность признанна экстремисткой и запрещена в России.
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: