Miliony smartfonów dystrybuowanych na całym świecie z preinstalowanym złośliwym oprogramowaniem Guerrilla

Od kilku lat wiadomo, że smartfony, zwłaszcza te budżetowe, mogą być dostarczane z podejrzanym oprogramowaniem, które daje firmom lub innym podmiotom dostęp do danych użytkownika. Jedna z najbardziej znanych operacji tego typu dotyczyła Triady, zaawansowanego trojana instalowanego na urządzeniach z Androidem. Jego istnienie wyszło na jaw w 2016 roku.

Od 2021 Trend Micro śledzi inną operację, która wydaje się powiązana z Triadą. Grupa stojąca za kampanią jest identyfikowana jako Lemon Group, a złośliwe oprogramowanie wstępnie załadowane na urządzenia nazywa się Guerrilla.

Kampania jest aktywna od co najmniej 2018 roku, a cyberprzestępcy zmienili nazwę swojej operacji z Lemon na Durian Cloud SMS po tym, jak Trend Micro szczegółowo opisało ich działania w zeszłym roku.

W nowym raporcie opublikowanym w środę firma Trend Micro poinformowała, że przeprowadziła analizę złośliwego oprogramowania Guerrilla. W tym celu nabyli telefon i wyodrębnili obraz ROM, a następnie przeprowadzili dochodzenie kryminalistyczne.

„Chociaż zidentyfikowaliśmy szereg biznesów, które Lemon Group prowadzi dla firm zajmujących się operacjami marketingowymi i reklamą, główna działalność obejmuje wykorzystanie dużych zbiorów danych: analizowanie ogromnych ilości informacji w poszukiwaniu cech odpowiednich producentów, prezentowanie treści reklamowych oraz pozyskiwanie danych o sprzęcie wraz ze szczegółami dotyczącymi zainstalowanego na nim oprogramowania” – wyjaśnia Trend Micro.

„Pozwala to Lemon Group monitorować klientów, którzy mogą być dalej infekowani innymi aplikacjami, na przykład koncentrując się na wyświetlaniu reklam tylko użytkownikom aplikacji z określonych regionów” – dodaje firma.

Implant umieszczony przez Lemon Group ładuje narzędzie do pobierania, które służy jako coś, co Trend Micro nazywa główną wtyczką, która z kolei może pobierać i uruchamiać inne wtyczki.

Dodatkowe wtyczki mogą przechwytywać wiadomości SMS (w tym zawierające hasła jednorazowe do popularnych usług, takich jak WhatsApp i Facebook), konfigurowania odwrotnego proxy na zainfekowanych telefonach, zbierania danych aplikacji, przejmowania kontroli nad aplikacjami takimi jak WhatsApp, aby wysyłać wiadomości i wyświetlać reklamy podczas uruchamiania legalnych aplikacji.

Tego typu implanty są zwykle umieszczane na urządzeniach nie przez producenta OEM, ale przez zewnętrznych dostawców, którym OEM dostarcza obraz systemu w celu dodania nowych funkcji. Dorzucane przez nich funkcje mogą obejmować złośliwe oprogramowanie, takie jak Guerrilla, a producent OEM nie jest świadomy jego istnienia.

Firma Trend Micro monitorowała żądania z urządzeń, na których były aktywne usługi SMS Lemon i Durian, i znalazła ponad 490 000 numerów telefonów w ponad 180 krajach. W pierwszej dziesiątce krajów znajdują się Stany Zjednoczone, Meksyk, Indonezja, Tajlandia, Rosja, RPA, Indie, Angola, Filipiny i Argentyna.

Firma zajmująca się bezpieczeństwem zauważyła, że strona internetowa Lemon Group reklamowała, iż może dotrzeć do 8,9 miliona urządzeń – witryna pokazująca te liczby została niedawno usunięta – co sugeruje, że rzeczywista liczba urządzeń, na których wstępnie załadowano złośliwe oprogramowanie, jest znacznie większa.

Podczas gdy w tym przypadku analiza Trend Micro koncentrowała się na smartfonach, firma zauważyła również złośliwe oprogramowanie z Lemon Group i podobnych cyberprzestępców w inteligentnych telewizorach, urządzeniach z Android TV, dziecięcych smartwatchach z systemem Android i innych produktach IoT.

„Odnotowując nasze wyniki tylko w tym dochodzeniu, byliśmy w stanie zidentyfikować ponad 50 marek urządzeń mobilnych, które zostały zainfekowane złośliwym oprogramowaniem Guerrilla, oraz jedną markę, którą identyfikujemy jako Copycat – premierowej linii urządzeń wiodącego producenta” – wyjaśnia Trend Micro. „Kompromitacja jakiejkolwiek znaczącej infrastruktury krytycznej z tą infekcją może prawdopodobnie przynieść znaczny zysk Lemon Group w dłuższej perspektywie, oczywiście kosztem legalnych użytkowników” – ostrzega dalej przedsiębiorstwo.