Guerrilla Android Malware IOCs

security IOC
Опубликовано

В 2021 году TrendMicro изучали обнаружения мобильного ботнета SMS PVA (SMS Phone Verified Accounts), подпитываемого атаками на скомпрометированную цепочку поставок мобильных устройств, когда мы обнаружили ботнет и операции субъектов угрозы. Мы обнаружили, что группа превратила его в преступное предприятие и создала сеть как минимум с 2018 года.

TrendMicro идентифицировали вредоносное ПО как Guerrilla, развернутое группой угроз, которую мы назвали "Lemon Group" на основе URL-адресов их страниц, ориентированных на клиентов (после первых сообщений Trend Micro о кампании ботнета SMS PVA группа изменила URL-адреса своих сайтов). TrendMicro определили инфраструктуру их бэкенда, включая вредоносные плагины и командно-контрольные (C&C) серверы, и обнаружили совпадение: обмен вредоносными программами Guerrilla с коммуникационными и/или сетевыми потоками операторов Triada. TrendMicro полагает, что эти две группы в какой-то момент работали вместе, поскольку наблюдали некоторое совпадение инфраструктуры их серверов C&C.

Вредоносные программы, внедренные Lemon Group

После сообщений о взломе телефонов вредоносным ПО Guerrilla Trend Micro приобрели телефон и извлекли образ ПЗУ для криминалистического анализа. Trend Micro обнаружили системную библиотеку libandroid_runtime.so, которая была подделана для внедрения фрагмента кода в функцию под названием println_native. Она будет вызвана при печати журнала. После этого внедренный код расшифрует DEX-файл из секции данных и загрузит его в память. Этот DEX-файл (SHA256: f43bb33f847486bb0989aa9d4ce427a10f24bf7dcacd68036eef11c82f77d61d) имеет домен Lemon Group (js***[.]big******[.]com), а также основной плагин под названием "Sloth". В DEX-файле записана конфигурация с именем канала "BSL001", который, возможно, обозначает этот домен.

Хотя Trend Micro определили ряд бизнесов, которые Lemon Group выполняет для компаний, занимающихся большими данными, маркетингом и рекламой, основной бизнес связан с использованием больших данных: Анализ огромных объемов данных и соответствующих характеристик поставок производителей, различного рекламного контента, полученного от разных пользователей в разное время, а также данных об аппаратном обеспечении с подробным программным нажатием. Это позволяет Lemon Group отслеживать клиентов, на которых в дальнейшем можно опираться, например, сосредоточиться на показе рекламы только пользователям приложений из определенных регионов.

В ходе расследования Trend Micro узнали всю архитектуру имплантата Lemon Group. Имплантат представляет собой подделанную библиотеку зависимостей zygote, которая загружает загрузчик в процесс zygote. Загруженный загрузчик (который мы назвали главным плагином) может загружать и запускать другие плагины. Таким образом, каждый раз, когда другие процессы приложения будут форкироваться из zygote, она также будет подделана. Главный плагин будет загружать другие плагины с текущим процессом в качестве цели, а другие плагины будут пытаться контролировать текущее приложение через крючок. Метод Lemon Group схож с разработкой фреймворка Xposed: и там, и там модифицированные процессы zygote для реализации глобальной инъекции процессов.

Проверка http-ответа домена привела Trend Micro к идентификации других C&C-доменов Lemon Group, включая SMS-плагин, о котором мы сообщали ранее. Поиск по SSL-сертификату также привел к некоторым фронтенд-системам группы. Еще один метод поворота позволил найти в Shodan имя их настроенного заголовка HTTP-ответа, и Trend Micro обнаружили другие подключенные IP-адреса Lemon Group. Благодаря этому смогли определить различные плагины, используемые группой, и соответствующие им преступные предприятия, вот лишь некоторые из них:

  1. SMS-плагин: Способен перехватывать полученные SMS и считывать специфические сообщения, такие как одноразовые пароли (OTP), с различных платформ, таких как WhatsApp, JingDong (приложение для покупок) и Facebook. Этот плагин питает бизнес компании SMS PVA, которая предоставляет телефонные номера и функции OTP для своих клиентов.
  2. Плагин прокси и продавец прокси: Способны устанавливать обратный прокси с зараженного телефона и использовать сетевые ресурсы пораженного мобильного устройства в обмен на свой бизнес DoveProxy.
  3. Плагин Cookie/плагин WhatsApp/плагин отправки и платформа продвижения:
    1. Плагин cookie подключается к приложениям, связанным с Facebook, и перехватывает определенные действия для запуска событий (например, список действий приложения Facebook). Он также сбрасывает связанные с Facebook файлы cookie из каталога данных приложения и загружает их на C&C-сервер. Этот плагин может собирать и другие данные, такие как список друзей, профиль, адреса электронной почты и другие.
    2. Плагин WhatsApp используется для перехвата сеансов WhatsApp с целью отправки нежелательных сообщений. Эти две программы использовались для "зарубежного маркетинга", чтобы клиенты могли использовать взломанные учетные записи Facebook и продвигать свою маркетинговую платформу, публикуя сообщения в Facebook от имени взломанных учетных записей. Зарегистрировать учетную запись Facebook теперь стало сложнее, и она может быть запрещена из-за вредоносной деятельности, исходящей от вновь созданных учетных записей, поэтому этот список взломанных учетных записей идеально подходит для маркетинговых целей.
  4. Плагин Splash: Крючок популярных приложений для перехвата определенных действий, таких как запуск рекламы по запросу события из рекламы. Жертвы будут видеть неожиданную рекламу при запуске официальных приложений на своих устройствах.
  5. Плагин Silent: Когда любому действию требуется разрешение на установку, он получает список задач от C&C, и каждая задача включает метаданные apk (Android Package) и действие, такое как установка и удаление. Этот плагин выполняет тихую установку и запускает установленное приложение.

Когда Trend Micro опубликовали исследование о деятельности Lemon Group в феврале 2022 года, группа изменила название своей деятельности. В мае они удалили некоторые следы "Lemon" и провели ребрендинг как "Durian Cloud SMS". Однако серверы остались прежними и нетронутыми.

Благодаря мониторингу Trend Micro обнаружили более 490 000 мобильных номеров, используемых для OTP-запросов сервиса Lemon SMS и, позднее, Durian SMS. Клиенты Lemon SMS PVA генерировали OTP с таких платформ, как JingDong, WhatsApp, Facebook, QQ, Line, Tinder и других приложений.

Отслеживание показателей с помощью Trend Micro™ Smart Protection Network™ показало, что количество зараженных устройств распределено по всему миру, поскольку угрожающий субъект контролирует устройства в более чем 180 странах. 10 наиболее пострадавших стран:

  • США
  • Мексика
  • Индонезия
  • Таиланд
  • Россия
  • Южная Африка
  • Индия
  • Ангола
  • Филиппины
  • Аргентина

Trend Micro определили, что некоторые из этих предприятий используются для различных методов монетизации, таких как интенсивная загрузка рекламы с помощью плагинов "тишины", устанавливаемых на зараженные телефоны, реклама на смарт-ТВ и приложения Google play со скрытой рекламой. Мы считаем, что действия угрожающих субъектов могут также быть связаны с кражей информации с зараженного устройства для использования в сборе больших данных перед продажей другим угрожающим субъектам в качестве еще одной схемы монетизации после заражения.

В этом расследовании в основном рассматривались предварительно зараженные мобильные устройства. Однако мы также видели, как Lemon Group или другие подобные группы угроз заражали другие устройства IoT, такие как:

  • умные телевизоры
  • ТВ-боксы на базе Android
  • Другие устройства отображения (например, экраны на базе Android, развлекательные системы)
  • Детские часы на базе Android.

Та же компания, которая производит компоненты прошивки для мобильных телефонов, также производит аналогичные компоненты для Android Auto, мобильного приложения, похожего на смартфон Android, используемого на информационных и развлекательных устройствах приборной панели автомобилей. Это расширяет и создает вероятность того, что некоторые автомобильные развлекательные системы могут быть уже заражены. Однако на момент написания этой статьи мы не обнаружили ни одной прошивки устройства, которая была бы заражена этой конкретной вредоносной программой.

Проанализированное Trend Micro количество устройств с предполагаемым охватом Lemon Group в 8,9 миллиона, можно предположить, что большее количество устройств были предварительно заражены, но не обменивались данными с сервером C&C, не использовались и не активировались субъектом угрозы, или еще не были распространены в целевой стране или на рынке.

Indicators of Compromise

SHA256

  • 1b1239af5652b168cfab49ada2f31d77554e7e8c12ec29ca5bbbbea360dd5dd4
  • 2da981e50267791b195e1196735d680d4aa1498340320c86f8c4bb628ece6cc9
  • 3ddc3bd64db1e36976b8a1c9053e81ceb734b43c21a943c15a8e750b3b88f4e8
  • 68cdef672077cd1c70e0293c449f475cf234d032f2050f4dbc03fc0328846948
  • 6fe61f3e68e73e543de35605bbb46624111af96dc7911f86d00b3760d7688afb
  • bc48a29eff1345236d6f10d15a340b66f2582bf0337707c6f7e3aaa5202a0f19
  • dcb29a49fc12336555f7ce8332663e3693956917de850522c670b9f96a29210d
  • e4d1026fc527f0e1c1175e15b953c2cef6f994565c5e0385055fb617b60d6a98
  • e650336f4b5ba1e30cb3e9c5545dac715346c97641b72adff419474925835a43
  • eee2e726eef0e5673176d38da27f40089f34b90916acf8b4f12ae4ac364d2c84
  • f43bb33f847486bb0989aa9d4ce427a10f24bf7dcacd68036eef11c82f77d61d
Похожие записи:
  1. CopperStealer Malware IOCs
  2. FurBall Android malware IOCs
  3. ERMAC Malware IOCs
  4. MoneyMonger Malware IOCs
  5. Godfather Malware IOCs
Android Guerrilla Lemon Group Malware TrendMicro
Добавить комментарий