Miljoonat Android-puhelinten käyttäjät ympäri maailmaa edistävät päivittäin Lemon Group -nimisen asun taloudellista hyvinvointia pelkästään omistamalla laitteita.
Näiden käyttäjien tietämättä Lemon Groupin operaattorit ovat esitartuttaneet laitteensa ennen niiden ostamista. Nyt he käyttävät puhelimiaan hiljaa työkaluina tekstiviestien ja kertaluonteisten salasanojen (OTP) varastamiseen ja myyntiin, ei-toivottujen mainosten näyttämiseen, verkkoviestintä- ja sosiaalisen median tilien luomiseen ja muihin tarkoituksiin.
Lemon Group itse on väittänyt, että sillä on lähes 9 miljoonaa sissitartunnan saanutta Android-laitetta, joita sen asiakkaat voivat väärinkäyttää eri tavoin. Mutta Trend Micro uskoo, että todellinen luku voi olla vielä suurempi.
Yrityksen rakentaminen tartunnan saaneille laitteille
Lemon Group on yksi useista kyberrikollisryhmistä, jotka ovat viime vuosina rakentaneet kannattavia liiketoimintamalleja esitartunnan saaneiden Android-laitteiden ympärille.
Trend Micron tutkijat alkoivat ensin selvittää operaatiota tehdessään rikosteknistä analyysiä ROM-kuvasta Android-laitteesta, joka oli saastunut "Guerrilla"-nimisellä haittaohjelmalla. Heidän tutkimuksensa osoitti, että ryhmä on tartuttanut Android-käyttäjille kuuluvia laitteita 180 maassa. Yli 55 % uhreista on Aasiassa, noin 17 % Pohjois-Amerikassa ja lähes 10 % Afrikassa. Trend Micro pystyi tunnistamaan yli 50 merkkiä – enimmäkseen edullisia – mobiililaitteita.
Esitelmässä juuri päättyneessä Black Hat Asia 2023 -tapahtumassa ja a blogiviesti tällä viikolla, Trend Micron tutkijat Fyodor Yarochkin, Zhengyu Dong ja Paul Pajares jakoivat näkemyksensä uhista, joita Lemon Groupin kaltaiset asut aiheuttavat Android-käyttäjille. He kuvailivat sitä jatkuvasti kasvavaksi ongelmaksi, joka on alkanut koskettaa Android-puhelinten käyttäjien lisäksi myös niiden omistajia Android-älytelevisiot, TV-laatikot, Android-pohjaiset viihdejärjestelmät ja jopa Android-pohjaiset lastenkellot.
"Aikajana-arvioidemme mukaan uhkatekijä on levittänyt tätä haittaohjelmaa viimeisen viiden vuoden aikana", tutkijat sanoivat. "Kompromisi minkä tahansa merkittävän kriittisen infrastruktuurin suhteen tämän tartunnan kanssa voi todennäköisesti tuottaa Lemon Groupille merkittävää voittoa pitkällä aikavälillä laillisten käyttäjien kustannuksella."
Vanha mutta kehittyvä haittaohjelmatartuntaongelma
Ongelma Android-puhelimien mukana toimitetuista haittaohjelmista esiasennettuna ei todellakaan ole uusi. Lukuisat tietoturvatoimittajat – mukaan lukien Trend Micro, Kaspersky ja Google – ovat raportoineet vuosien aikana huonoista toimijoista, jotka ovat tuoneet mahdollisesti haitallisia sovelluksia Android-laitteiden laiteohjelmistokerrokseen.
Monissa tapauksissa peukalointi on tapahtunut, kun Android OEM, joka haluaa lisätä lisäominaisuuksia tavalliseen Android-järjestelmäkuvaan, ulkoisti tehtävän kolmannelle osapuolelle. Joissakin tapauksissa huonot toimijat ovat myös onnistuneet livahtaa sisään mahdollisesti haitallisiin sovelluksiin ja haittaohjelmiin firmware over-the-air (FOTA) -päivitysten kautta. Muutama vuosi sitten suurin osa Android-laitteille esiasennetuista haittaohjelmista oli tiedonvarastajia ja mainospalvelimia.
Tyypillisesti tällaiseen peukalointiin on liittynyt edullisia laitteita enimmäkseen tuntemattomilta ja pienemmiltä merkeiltä. Mutta toisinaan myös isompien myyjien ja OEM-valmistajien laitteet ovat vaikuttaneet myös. Esimerkiksi vuonna 2017 Check Point ilmoitti löytäneensä niin monta kuin 37 Android-laitemallia suurelta monikansalliselta tietoliikenneyritykseltä, johon on esiasennettu tällainen haittaohjelma. Kaprin takana oleva uhkatekijä lisäsi kuusi haittaohjelmanäytettä laitteen ROM-muistiin, jotta käyttäjä ei voinut poistaa niitä ilman laitteiden uudelleenvaihtoa.
Esiasennetut haittaohjelmat muuttuvat vaarallisemmiksi
Viime vuosina jotkin Android-laitteisiin esiasennetuista haittaohjelmista ovat tulleet paljon vaarallisemmiksi. Paras esimerkki on Triada, a Troijalainen, joka muutti Zygote-ydinprosessia Android OSa:ssa. Se myös korvasi aktiivisesti järjestelmätiedostoja ja toimi enimmäkseen järjestelmän RAM-muistissa, mikä teki sen havaitsemisen erittäin vaikeaksi. Haittaohjelman takana olevat uhkatekijät käyttivät sitä muun muassa sieppaamaan saapuvia ja lähteviä tekstiviestejä tapahtuman vahvistuskoodeja varten, näyttämään ei-toivottuja mainoksia ja manipuloimaan hakutuloksia.
Trend Micron tutkimus Guerrilla-haittaohjelmakampanjassa osoitti päällekkäisyyksiä Lemon Groupin ja Triadan toimintojen välillä – esimerkiksi komento- ja ohjausinfrastruktuurissa ja viestinnässä. Esimerkiksi Trend Micro havaitsi, että Lemon Group -implantti peukaloi Zygote-prosessia ja siitä tuli olennaisesti osa jokaista vaarantuneen laitteen sovellusta. Lisäksi haittaohjelma koostuu päälaajennuksesta, joka lataa useita muita laajennuksia, joista jokaisella on hyvin erityinen tarkoitus. Niitä ovat muun muassa sellainen, joka on suunniteltu sieppaamaan tekstiviestejä ja lukemaan OTP:itä sellaisista alustoista kuin WhatsApp, Facebook ja ostossovellus nimeltä JingDong.
Lisäosat erilaisiin haitallisiin toimiin
Yksi laajennus on tärkeä osa SMS-puhelinvahvistettua tiliä (SMS PVA) -palvelua, jota Lemon Group tarjoaa asiakkailleen. SMS PVA-palvelut tarjoavat käyttäjille periaatteessa tilapäisiä tai kertakäyttöisiä puhelinnumeroita, joita he voivat käyttää puhelinnumeron varmentamiseen esimerkiksi verkkopalveluun rekisteröityessään sekä vastaanottaakseen kaksivaiheisen todennuksen ja kertakäyttöiset salasanat myöhemmin todentaakseen. Vaikka jotkut käyttävät tällaisia palveluita tietosuojasyistä, uhkatekijät, kuten Lemon Group, käyttävät niitä mahdollistaakseen asiakkaiden joukkorekisteröinnin roskapostitileille, luoda väärennettyjä sosiaalisen median tilejä ja muuta haitallista toimintaa.
Toinen Guerrilla-laajennus antaa Lemon Groupille mahdollisuuden vuokrata tartunnan saaneen puhelimen resursseja lyhyeksi ajaksi asiakkaille; evästelaajennus kytkeytyy Facebookiin liittyviin sovelluksiin käyttäjän laitteilla mainoksiin liittyvissä petoksissa; ja WhatsApp-laajennus kaappaa käyttäjän WhatsApp-istunnot lähettääkseen ei-toivottuja viestejä. Toinen laajennus mahdollistaa sellaisten sovellusten hiljaisen asennuksen, jotka vaativat asennusluvan tiettyihin toimintoihin.
"Tunnistamme joitain näistä yrityksistä, joita käytetään erilaisiin tuloutustekniikoihin, kuten mainosten raskaaseen lataamiseen tartunnan saaneisiin puhelimiin lähetetyillä hiljaisilla laajennuksilla, älytelevisiomainoksilla ja Google Play -sovelluksilla, joissa on piilomainoksia", Trend Micron analyysin mukaan. "Uskomme, että uhkatoimijan toiminta voi olla myös tapaus varastaa tietoja tartunnan saaneelta laitteelta suuren datan keräämiseen ennen kuin se myydään muille uhkatoimijoille toisena tartunnan jälkeisenä kaupallistamissuunnitelmana."
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoAiStream. Web3 Data Intelligence. Tietoa laajennettu. Pääsy tästä.
- Tulevaisuuden lyöminen Adryenn Ashley. Pääsy tästä.
- Osta ja myy osakkeita PRE-IPO-yhtiöissä PREIPO®:lla. Pääsy tästä.
- Lähde: https://www.darkreading.com/threat-intelligence/threat-actor-millions-pre-infected-android-phones-cybercrime-enterprise
