Zephyrnet-Logo

Generative Datenintelligenz

Cybersicherheit

Lemon Group nutzt Millionen vorinfizierter Android-Telefone, um Cybercrime-Unternehmen zu ermöglichen

Neuauflage von Plato
Neuauflage von Plato

Datum:

Views: 134

Millionen von Android-Handynutzern auf der ganzen Welt tragen allein durch den Besitz der Geräte täglich zum finanziellen Wohlergehen eines Unternehmens namens Lemon Group bei.

Unbemerkt von diesen Benutzern haben die Betreiber der Lemon Group ihre Geräte vorinfiziert, bevor sie sie überhaupt gekauft haben. Jetzt nutzen sie ihre Telefone stillschweigend als Werkzeuge zum Stehlen und Verkaufen von SMS-Nachrichten und Einmalpasswörtern (OTPs), zum Schalten unerwünschter Werbung, zum Einrichten von Online-Messaging- und Social-Media-Konten und für andere Zwecke.

Die Lemon Group selbst gibt an, über eine Basis von fast 9 Millionen Guerrilla-infizierten Android-Geräten zu verfügen, die ihre Kunden auf unterschiedliche Weise missbrauchen können. Trend Micro geht jedoch davon aus, dass die tatsächliche Zahl sogar noch höher sein könnte.

Aufbau eines Geschäfts auf infizierten Geräten

Die Lemon Group gehört zu mehreren Cyberkriminellengruppen, die in den letzten Jahren profitable Geschäftsmodelle rund um vorinfizierte Android-Geräte aufgebaut haben.

Forscher von Trend Micro begannen mit der Aufklärung des Vorgangs, als sie eine forensische Analyse des ROM-Images eines Android-Geräts durchführten, das mit Malware namens „Guerrilla“ infiziert war. Ihre Untersuchung ergab, dass die Gruppe Geräte von Android-Nutzern in 180 Ländern infiziert hat. Mehr als 55 % der Opfer leben in Asien, etwa 17 % in Nordamerika und fast 10 % in Afrika. Trend Micro konnte mehr als 50 Marken von – meist preiswerten – Mobilgeräten identifizieren.

In einer Präsentation auf der gerade zu Ende gegangenen Black Hat Asia 2023 und in einem Blogpost diese WocheDie Trend Micro-Forscher Fyodor Yarochkin, Zhengyu Dong und Paul Pajares teilten ihre Erkenntnisse über die Bedrohung, die Unternehmen wie die Lemon Group für Android-Benutzer darstellen. Sie beschrieben es als ein ständig wachsendes Problem, das nicht nur Android-Telefonbenutzer, sondern auch Besitzer von Android-Telefonen betrifft Android-Smart-TVs, TV-Boxen, Android-basierte Unterhaltungssysteme und sogar Android-basierte Kinderuhren.

„Unseren Schätzungen zufolge hat der Bedrohungsakteur diese Malware in den letzten fünf Jahren verbreitet“, sagten die Forscher. „Eine Kompromittierung einer wichtigen kritischen Infrastruktur durch diese Infektion kann der Lemon Group auf lange Sicht wahrscheinlich einen erheblichen Gewinn auf Kosten legitimer Benutzer bescheren.“

Ein altes, aber sich weiterentwickelndes Problem mit Malware-Infektionen

Das Problem, dass Android-Telefone mit vorinstallierter Malware ausgeliefert werden, ist sicherlich nicht neu. Zahlreiche Sicherheitsanbieter – darunter Trend Micro, Kaspersky und Google – haben im Laufe der Jahre über Kriminelle berichtet, die potenziell schädliche Anwendungen auf der Firmware-Ebene von Android-Geräten einführen.

In vielen Fällen kam es zu Manipulationen, als ein Android-OEM, der einem Standard-Android-Systemabbild zusätzliche Funktionen hinzufügen wollte, die Aufgabe an einen Drittanbieter auslagerte. In einigen Fällen ist es Kriminellen auch gelungen, über Firmware-Over-the-Air-Updates (FOTA) potenziell schädliche Anwendungen und Malware einzuschleusen. Vor einigen Jahren handelte es sich bei der auf Android-Geräten vorinstallierten Malware überwiegend um Informationsdiebstahler und Ad-Server.

Typischerweise handelte es sich bei solchen Manipulationen um preiswerte Geräte meist unbekannter und kleinerer Marken. Gelegentlich waren aber auch Geräte größerer Anbieter und OEMs betroffen. Im Jahr 2017 berichtete Check Point beispielsweise über den Fund von bis zu 37 Android-Gerätemodelle von einem großen multinationalen Telekommunikationsunternehmen, auf dem solche Malware vorinstalliert ist. Der Bedrohungsakteur hinter der Kapriole fügte dem Geräte-ROM sechs der Malware-Beispiele hinzu, sodass der Benutzer sie nicht entfernen konnte, ohne die Geräte erneut zu flashen.

Vorinstallierte Malware wird gefährlicher

In den letzten Jahren sind einige der auf Android-Geräten vorinstallierten Malware deutlich gefährlicher geworden. Das beste Beispiel ist Triada, a Trojaner, der den Zygote-Kernprozess verändert hat im Android-Betriebssystem. Außerdem ersetzte es aktiv Systemdateien und operierte größtenteils im RAM des Systems, wodurch es sehr schwer zu erkennen war. Die hinter der Malware stehenden Bedrohungsakteure nutzten sie unter anderem, um ein- und ausgehende SMS-Nachrichten für Transaktionsbestätigungscodes abzufangen, unerwünschte Werbung anzuzeigen und Suchergebnisse zu manipulieren.

Die Untersuchungen von Trend Micro im Rahmen der Guerrilla-Malware-Kampagne zeigten Überschneidungen – beispielsweise in der Command-and-Control-Infrastruktur und der Kommunikation – zwischen den Aktivitäten der Lemon Group und denen von Triada. Trend Micro stellte beispielsweise fest, dass das Implantat der Lemon Group den Zygote-Prozess manipulierte und praktisch Teil jeder App auf einem kompromittierten Gerät wurde. Außerdem besteht die Malware aus einem Haupt-Plugin, das mehrere andere Plugins lädt, jedes mit einem ganz bestimmten Zweck. Dazu gehört eines, das SMS-Nachrichten abfängt und OTPs von Plattformen wie WhatsApp, Facebook und einer Shopping-App namens JingDong liest.

Plugins für verschiedene bösartige Aktivitäten

Ein Plugin ist eine entscheidende Komponente eines SMS-PVA-Dienstes (SMS Phone Verified Account), den die Lemon Group für ihre Kunden betreibt. SMS-PVA-Dienste stellen Benutzern grundsätzlich temporäre oder einmalige Telefonnummern zur Verfügung, die sie beispielsweise zur Telefonnummernverifizierung bei der Registrierung für einen Online-Dienst sowie zum Erhalt einer Zwei-Faktor-Authentifizierung und Einmalpasswörtern für die spätere Authentifizierung verwenden können. Während einige solche Dienste aus Datenschutzgründen nutzen, nutzen Bedrohungsakteure wie die Lemon Group sie, um Kunden die Massenregistrierung von Spam-Konten, die Erstellung gefälschter Social-Media-Konten usw. zu ermöglichen andere böswillige Aktivitäten.

Ein weiteres Guerrilla-Plugin ermöglicht es der Lemon Group, die Ressourcen eines infizierten Telefons im Wesentlichen für kurze Zeiträume an Kunden zu vermieten; ein Cookie-Plugin verbindet sich mit Facebook-bezogenen Apps auf den Geräten des Benutzers für Zwecke im Zusammenhang mit Werbebetrug; und ein WhatsApp-Plugin kapert die WhatsApp-Sitzungen eines Benutzers, um unerwünschte Nachrichten zu senden. Ein weiteres Plugin ermöglicht die unbeaufsichtigte Installation von Apps, die für bestimmte Aktivitäten eine Installationserlaubnis erfordern würden.

„Wir haben festgestellt, dass einige dieser Unternehmen für unterschiedliche Monetarisierungstechniken genutzt werden, wie z. B. das starke Laden von Werbung mithilfe der Silent-Plugins, die auf infizierte Telefone übertragen werden, Smart-TV-Werbung und Google Play-Apps mit versteckter Werbung“, heißt es in der Analyse von Trend Micro. „Wir glauben, dass es sich bei den Operationen des Bedrohungsakteurs auch darum handeln kann, Informationen vom infizierten Gerät zu stehlen, um sie für die Sammlung großer Datenmengen zu verwenden, bevor sie sie als weiteren Monetarisierungsplan nach der Infektion an andere Bedrohungsakteure verkaufen.“

spot_img

Neueste Intelligenz

spot_img

Copyright @ 2024 Plato Technologies Inc.