"Limon Grubu" olarak izlenen büyük bir siber suç işliği, yaklaşık 9 milyon Android tabanlı akıllı telefon, saat, TV ve TV kutularında 'Guerilla' olarak bilinen önceden yüklenmiş kötü amaçlı yazılımlar olduğu bildiriliyor.
Tehdit aktörleri, ek yükler yüklemek, SMS'den bir kerelik şifreleri kesmek, enfekte cihazdan ters bir proxy oluşturmak, WhatsApp oturumlarını ele geçirmek ve daha fazlasını yapmak için gerilla kullanır.
Analistleri büyük suç girişimini keşfeden ve son Blackhat Asya Konferansı'nda bununla ilgili ayrıntıları sunan Trend Micro'nun bir raporuna göre, saldırganların altyapısından bazıları 2016'dan Triada Truva Operasyonu ile örtüşüyor.
Triada, ürünlerini küresel olarak satan düşük maliyetli Çinli markalardan 42 Android akıllı telefon modellerine önceden yüklenmiş olan bir bankacılık Truva atıydı.
Trend Micro, Limon grubunu ilk olarak Şubat 2022'de ortaya çıkardıklarını ve kısa bir süre sonra grubun "Durian Cloud SMS" adı altında yeniden markalaştığı iddia ediliyor. Ancak, saldırganların altyapısı ve taktikleri değişmeden kaldı.
"Lemon Group'un büyük veri, pazarlama ve reklam şirketleri için yaptığı bazı işletmeleri belirlerken, ana işletme büyük verilerin kullanımını içerir: büyük miktarda veri ve üreticilerin gönderilerinin karşılık gelen özellikleri, elde edilen farklı reklam içeriği Farklı zamanlarda farklı kullanıcılardan ve ayrıntılı yazılım itme ile donanım verileri, "diye açıklıyor trend mikro raporu.
Trend Micro, limon grubunun cihazları gerilla içeren kötü amaçlı ürün yazılımı ile nasıl enfekte ettiğini, ancak analistlerinin incelenen cihazların yeni ROM'larla yeniden yanıp söndüğünü açıkladı.
Analistler, çeşitli Android cihaz satıcılarını hedefleyen ilk kötü amaçlı yazılım yükleyicileri ile enfekte olmuş 50'den fazla farklı ROM belirlediler.
Trend Micro'nun siyah şapka konuşmasının açıklamasını, "Suç grubu, özellikle cep telefonları, aynı zamanda akıllı saatler, akıllı TV'ler ve daha fazlası olmak üzere milyonlarca Android cihazına enfekte etti."
"Enfeksiyon, bu cihazları mobil vekillere, SMS mesajlarını çalmak ve satmak için araçlar, sosyal medya ve çevrimiçi mesajlaşma hesapları ve reklamlar ve tıklama sahtekarlığı yoluyla para kazanma araçlarına dönüştürüyor."
Bu uzlaşmayı elde etmenin olası yolları arasında tedarik zinciri saldırıları, tehlikeye atılmış üçüncü taraf yazılımı, tehlikeye atılan bir ürün yazılımı güncelleme işlemi veya ürün üretim veya dağıtım zincirine dahil edilen kişilerin dahil edilmesi sayılabilir.
Trend Micro, başlangıçta bir Android telefon satın aldıklarını ve limon grubu tarafından implante edilen değiştirilmiş ürün yazılımını keşfetmek için "ROM görüntüsünü" çıkardıklarını söylüyor.
Bu cihazın 'libandroid_runtime.so' sistem kitaplığında bir DEX dosyasını şifresini çözecek ve yürütecek ek kod içerecek şekilde değiştirdi.
DEX dosyasının kodu belleğe yüklenir ve "Sloth" adı verilen saldırganlar tarafından kullanılan ana eklentiyi etkinleştirmek için Android çalışma zamanı tarafından yürütülür ve ayrıca iletişim için bir limon grubu alanı içeren yapılandırmasını sağlar.
Guerrilla kötü amaçlı yazılımının ana eklentisi, aşağıdakiler de dahil olmak üzere belirli işlevselliği gerçekleştirmeye adanmış ek eklentiler yükler:
Bu işlevler, limon grubunun uzlaşılmış hesapların satılmasını, ağ kaynaklarını ele geçirmeyi, uygulama kurulumu hizmetleri sunmayı, hileli reklam izlenimleri üretmeyi, proxy hizmetleri sunan ve SMS Telefon Doğrulanmış Hesaplar (PVA) hizmetlerini içeren çeşitli para kazanma stratejisi oluşturmasına izin verir.
Trend Micro, Lemon Group'un daha önce hizmet veren sitesinde 180 ülkeye yayılmış yaklaşık dokuz milyon cihazı kontrol etmek için talep ettiğini bildirdi. En çok etkilenen ülkeler arasında ABD, Meksika, Endonezya, Tayland ve Rusya yer alıyor.
Trend Micro, "Ayrıca, telemetri verilerimiz sayesinde, küresel olarak işletilen milyonlarca enfekte cihazın olduğunu doğruladık. Bu cihazların ana kümesi Güneydoğu Asya ve Doğu Avrupa'da, ancak bu gerçekten küresel bir sorundur." Dedi.
Trend Micro, gerilla ile enfekte edilmiş gerçek Android cihaz sayısının daha yüksek olabileceğini göstermektedir. Ancak, bu cihazlar henüz satın almayı bekledikleri için saldırganların komut ve kontrol sunucularıyla henüz iletişim kurmamışlardır.
Operasyonu izleyerek analistler, Jingdong, WhatsApp, Facebook, QQ, Line, Tinder ve diğer platformlardan SMS PVA hizmetleri için bir kerelik şifre istekleri oluşturmak için kullanılan 490.000'den fazla cep telefonu algıladılar.
Bu siber suç sendikası tarafından sunulan tek bir hizmete bağlı yarım milyondan fazla uzlaşmış cihazın tanımlanması, kötü niyetli operasyonlarının önemli bir küresel erişimini göstermektedir.
BleepingComputer Trend Micro'ya önceden enfekte telefonu nereden satın aldıklarını, nasıl satıldığını ve hangi markaların etkilendiğini sordu, ancak bir cevap hemen mevcut değildi.
Yeni Android Fluhorse kötü amaçlı yazılım şifrelerinizi çalıyor, 2FA Kodları
Yeni bukalemun android kötü amaçlı yazılım bankası, govt ve kripto uygulamaları
Android kötü amaçlı yazılım, 100 metre yükleme ile 60 Google Play uygulamalarına sızıyor
1M yüklemeli Kyocera Android uygulaması, kötü amaçlı yazılımları bırakmak için istismar edilebilir
Linux Bpfdoor kötü amaçlı yazılımın daha kapsamlı versiyonu,
Kaynak: Bleeping Computer