전 세계 수백만 명의 Android 휴대전화 사용자가 기기를 소유하고 있다는 사실만으로 매일 Lemon Group이라는 기업의 재정적 복지에 기여하고 있습니다.
해당 사용자가 모르는 사이에 Lemon Group의 운영자는 기기를 구매하기도 전에 기기를 사전 감염시켰습니다. 이제 그들은 SMS 메시지와 OTP(일회용 암호)를 훔치고 판매하고, 원치 않는 광고를 제공하고, 온라인 메시징 및 소셜 미디어 계정을 설정하고, 기타 목적을 위한 도구로 휴대폰을 조용히 사용하고 있습니다.
Lemon Group 자체는 고객이 다양한 방식으로 남용할 수 있는 거의 9만 대의 게릴라에 감염된 Android 기기 기반을 보유하고 있다고 주장했습니다. 그러나 Trend Micro는 실제 숫자가 훨씬 더 높을 수 있다고 생각합니다.
감염된 장치에서 비즈니스 구축
Lemon Group은 최근 몇 년 동안 미리 감염된 Android 기기를 중심으로 수익성 있는 비즈니스 모델을 구축한 여러 사이버 범죄 그룹 중 하나입니다.
Trend Micro의 연구원들은 "Guerrilla"라고 불리는 맬웨어에 감염된 Android 장치의 ROM 이미지에 대한 포렌식 분석을 수행하면서 처음으로 작업을 풀기 시작했습니다. 그들의 조사에 따르면 이 그룹은 180개국의 Android 사용자 소유 기기를 감염시켰습니다. 피해자의 55% 이상이 아시아에 있고, 약 17%는 북미에, 거의 10%는 아프리카에 있습니다. Trend Micro는 50개 이상의 브랜드(대부분 저렴한) 모바일 장치를 식별할 수 있었습니다.
방금 종료된 Black Hat Asia 2023 프레젠테이션과 이번 주 블로그 게시물, Trend Micro 연구원 Fyodor Yarochkin, Zhengyu Dong 및 Paul Pajares는 Lemon Group과 같은 의상이 Android 사용자에게 가하는 위협에 대한 통찰력을 공유했습니다. 그들은 그것을 Android 휴대전화 사용자뿐만 아니라 안드로이드 스마트 TV, TV 박스, Android 기반 엔터테인먼트 시스템, 심지어 Android 기반 어린이용 시계까지.
연구원들은 "우리의 타임라인 추정에 따르면 공격자는 지난 XNUMX년 동안 이 악성코드를 퍼뜨렸습니다."라고 말했습니다. "이 감염으로 중요한 중요 인프라가 손상되면 합법적인 사용자를 희생시키면서 장기적으로 Lemon Group에 상당한 이익을 줄 수 있습니다."
오래되었지만 진화하는 맬웨어 감염 문제
맬웨어가 미리 설치된 상태로 배송되는 Android 휴대폰 문제는 확실히 새로운 것이 아닙니다. Trend Micro, Kaspersky 및 Google을 비롯한 수많은 보안 공급업체는 Android 기기의 펌웨어 계층에서 잠재적으로 유해한 애플리케이션을 도입하는 악의적인 행위자에 대해 수년 동안 보고했습니다.
많은 경우에 표준 Android 시스템 이미지에 추가 기능을 추가하려는 Android OEM이 작업을 타사에 아웃소싱할 때 변조가 발생했습니다. 경우에 따라 악의적인 행위자는 펌웨어 무선(FOTA) 업데이트를 통해 잠재적으로 유해한 애플리케이션과 맬웨어에 잠입할 수도 있습니다. 몇 년 전, Android 기기에 사전 설치되어 발견된 대부분의 맬웨어는 정보 도용자 및 광고 서버였습니다.
일반적으로 이러한 변조에는 대부분 알려지지 않은 소규모 브랜드의 저렴한 장치가 포함됩니다. 그러나 경우에 따라 더 큰 공급업체 및 OEM에 속한 장치도 영향을 받았습니다. 예를 들어 2017년에 Check Point는 37개의 Android 기기 모델 대규모 다국적 통신 회사에서 이러한 맬웨어가 사전 설치되었습니다. 케이퍼 배후의 위협 행위자는 맬웨어 샘플 XNUMX개를 장치 ROM에 추가하여 사용자가 장치를 다시 플래시하지 않고는 제거할 수 없도록 했습니다.
사전 설치된 맬웨어가 더 위험해짐
최근 몇 년 동안 Android 기기에 사전 설치된 것으로 밝혀진 일부 맬웨어는 훨씬 더 위험해졌습니다. 가장 좋은 예는 Triada입니다. 핵심 Zygote 프로세스를 수정한 트로이 목마 안드로이드 OSa에서. 또한 시스템 파일을 적극적으로 대체하고 대부분 시스템의 RAM에서 작동하므로 감지하기가 매우 어렵습니다. 멀웨어 배후의 위협 행위자는 거래 확인 코드를 위해 들어오고 나가는 SMS 메시지를 가로채고, 원치 않는 광고를 표시하고, 검색 결과를 조작하는 데 이를 사용했습니다.
게릴라 맬웨어 캠페인에 대한 트렌드마이크로의 연구는 예를 들어 명령 및 제어 인프라와 통신에서 Lemon Group의 작업과 Triada의 작업 사이에 겹치는 부분이 있음을 보여주었습니다. 예를 들어 Trend Micro는 Lemon Group 임플란트가 Zygote 프로세스를 조작하고 본질적으로 손상된 장치의 모든 앱의 일부가 되는 것을 발견했습니다. 또한 이 멀웨어는 각각 매우 특정한 목적을 가진 여러 다른 플러그인을 로드하는 기본 플러그인으로 구성됩니다. 여기에는 WhatsApp, Facebook 및 JingDong이라는 쇼핑 앱과 같은 플랫폼에서 SMS 메시지를 가로채고 OTP를 읽도록 설계된 것이 포함됩니다.
다양한 악성 활동을 위한 플러그인
하나의 플러그인은 레몬 그룹이 고객을 위해 운영하는 SMS 전화 확인 계정(SMS PVA) 서비스의 중요한 구성 요소입니다. SMS PVA 서비스는 기본적으로 사용자에게 온라인 서비스에 등록할 때 전화번호 확인에 사용할 수 있는 임시 또는 일회용 전화번호를 제공하고 이중 인증 및 나중에 인증하기 위한 일회용 암호를 수신합니다. 일부는 개인 정보 보호를 위해 이러한 서비스를 사용하지만 Lemon Group과 같은 공격자는 이를 사용하여 고객이 스팸 계정을 대량으로 등록하고 가짜 소셜 미디어 계정을 만들 수 있도록 합니다. 기타 악의적인 활동.
또 다른 Guerrilla 플러그인을 사용하면 Lemon Group은 본질적으로 감염된 전화의 리소스를 단기간 고객에게 임대할 수 있습니다. 쿠키 플러그인은 광고 사기 관련 사용을 위해 사용자 장치의 Facebook 관련 앱에 연결합니다. WhatsApp 플러그인은 사용자의 WhatsApp 세션을 하이재킹하여 원치 않는 메시지를 보냅니다. 또 다른 플러그인은 특정 활동에 대한 설치 권한이 필요한 앱의 자동 설치를 활성화합니다.
트렌드마이크로의 분석에 따르면 "감염된 휴대폰에 푸시되는 자동 플러그인, 스마트 TV 광고, 숨겨진 광고가 있는 Google Play 앱을 사용하는 과도한 광고 로드와 같은 다양한 수익 창출 기술에 사용되는 이러한 비즈니스 중 일부를 식별했습니다."라고 분석했습니다. "우리는 위협 행위자의 작전이 또 다른 감염 후 수익 창출 계획으로 다른 위협 행위자에게 판매하기 전에 빅 데이터 수집에 사용하기 위해 감염된 장치에서 정보를 훔치는 경우가 될 수 있다고 생각합니다."
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoAiStream. Web3 데이터 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 미래 만들기 w Adryenn Ashley. 여기에서 액세스하십시오.
- PREIPO®로 PRE-IPO 회사의 주식을 사고 팔 수 있습니다. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/threat-intelligence/threat-actor-millions-pre-infected-android-phones-cybercrime-enterprise
