Menu dostępności

Miliony smartfonów dystrybuowanych na całym świecie z preinstalowanym złośliwym oprogramowaniem Guerrilla

Miliony smartfonów dystrybuowanych na całym świecie z preinstalowanym złośliwym oprogramowaniem Guerrilla

17 maja firma Trend Micro ostrzegła we wpisie na swoim blogu, że cyberprzestępcy z Lemon Group kontrolują miliony smartfonów dystrybuowanych na całym świecie. Dzieje się tak dzięki preinstalowanemu złośliwemu oprogramowaniu Guerrilla.

Od kilku lat wiadomo, że smartfony, zwłaszcza te budżetowe, mogą być dostarczane z podejrzanym oprogramowaniem, które daje firmom lub innym podmiotom dostęp do danych użytkownika. Jedna z najbardziej znanych operacji tego typu dotyczyła Triady, zaawansowanego trojana instalowanego na urządzeniach z Androidem. Jego istnienie wyszło na jaw w 2016 roku.

Od 2021 Trend Micro śledzi inną operację, która wydaje się powiązana z Triadą. Grupa stojąca za kampanią jest identyfikowana jako Lemon Group, a złośliwe oprogramowanie wstępnie załadowane na urządzenia nazywa się Guerrilla.

Kampania jest aktywna od co najmniej 2018 roku, a cyberprzestępcy zmienili nazwę swojej operacji z Lemon na Durian Cloud SMS po tym, jak Trend Micro szczegółowo opisało ich działania w zeszłym roku.

W nowym raporcie opublikowanym w środę firma Trend Micro poinformowała, że przeprowadziła analizę złośliwego oprogramowania Guerrilla. W tym celu nabyli telefon i wyodrębnili obraz ROM, a następnie przeprowadzili dochodzenie kryminalistyczne.

„Chociaż zidentyfikowaliśmy szereg biznesów, które Lemon Group prowadzi dla firm zajmujących się operacjami marketingowymi i reklamą, główna działalność obejmuje wykorzystanie dużych zbiorów danych: analizowanie ogromnych ilości informacji w poszukiwaniu cech odpowiednich producentów, prezentowanie treści reklamowych oraz pozyskiwanie danych o sprzęcie wraz ze szczegółami dotyczącymi zainstalowanego na nim oprogramowania” – wyjaśnia Trend Micro.

„Pozwala to Lemon Group monitorować klientów, którzy mogą być dalej infekowani innymi aplikacjami, na przykład koncentrując się na wyświetlaniu reklam tylko użytkownikom aplikacji z określonych regionów” – dodaje firma.

Implant umieszczony przez Lemon Group ładuje narzędzie do pobierania, które służy jako coś, co Trend Micro nazywa główną wtyczką, która z kolei może pobierać i uruchamiać inne wtyczki.

Dodatkowe wtyczki mogą przechwytywać wiadomości SMS (w tym zawierające hasła jednorazowe do popularnych usług, takich jak WhatsApp i Facebook), konfigurowania odwrotnego proxy na zainfekowanych telefonach, zbierania danych aplikacji, przejmowania kontroli nad aplikacjami takimi jak WhatsApp, aby wysyłać wiadomości i wyświetlać reklamy podczas uruchamiania legalnych aplikacji.

Tego typu implanty są zwykle umieszczane na urządzeniach nie przez producenta OEM, ale przez zewnętrznych dostawców, którym OEM dostarcza obraz systemu w celu dodania nowych funkcji. Dorzucane przez nich funkcje mogą obejmować złośliwe oprogramowanie, takie jak Guerrilla, a producent OEM nie jest świadomy jego istnienia.

Firma Trend Micro monitorowała żądania z urządzeń, na których były aktywne usługi SMS Lemon i Durian, i znalazła ponad 490 000 numerów telefonów w ponad 180 krajach. W pierwszej dziesiątce krajów znajdują się Stany Zjednoczone, Meksyk, Indonezja, Tajlandia, Rosja, RPA, Indie, Angola, Filipiny i Argentyna.

Firma zajmująca się bezpieczeństwem zauważyła, że strona internetowa Lemon Group reklamowała, iż może dotrzeć do 8,9 miliona urządzeń – witryna pokazująca te liczby została niedawno usunięta – co sugeruje, że rzeczywista liczba urządzeń, na których wstępnie załadowano złośliwe oprogramowanie, jest znacznie większa.

Podczas gdy w tym przypadku analiza Trend Micro koncentrowała się na smartfonach, firma zauważyła również złośliwe oprogramowanie z Lemon Group i podobnych cyberprzestępców w inteligentnych telewizorach, urządzeniach z Android TV, dziecięcych smartwatchach z systemem Android i innych produktach IoT.

„Odnotowując nasze wyniki tylko w tym dochodzeniu, byliśmy w stanie zidentyfikować ponad 50 marek urządzeń mobilnych, które zostały zainfekowane złośliwym oprogramowaniem Guerrilla, oraz jedną markę, którą identyfikujemy jako Copycat – premierowej linii urządzeń wiodącego producenta” – wyjaśnia Trend Micro. „Kompromitacja jakiejkolwiek znaczącej infrastruktury krytycznej z tą infekcją może prawdopodobnie przynieść znaczny zysk Lemon Group w dłuższej perspektywie, oczywiście kosztem legalnych użytkowników” – ostrzega dalej przedsiębiorstwo.

Popularne

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...
Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Badacze odkryli ośmioletnią lukę bezpieczeństwa, dotyczącą niemal wszystkich urządzeń Samsung od Galaxy S9 do S25. Została sklasyfikowana jako podatność o wysokim stopniu zagrożenia – CVSS 7.8. Luka...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Administratorzy korzystający z Oracle E-Business Suite powinni jak najszybciej zweryfikować stan swoich systemów. Eksperci ds. cyberbezpieczeństwa potwierdzili bowiem aktywne wykorzystywanie krytycznej pod...