全球超过 890 万部安卓手机被感染

一家名为Lemon Group的网络犯罪企业正在利用全球数百万台预先感染的 Android 智能手机进行恶意操作，造成重大供应链风险。

网络安全公司 Trend Micro表示：“这种感染将这些设备变成了移动代理、窃取和销售短信、社交媒体和在线消息账户的工具，以及通过广告和点击欺诈获利的工具。”

该活动涉及不少于 890 万台受感染的 Android 设备，尤其是廉价手机，其中大部分感染发生在美国、墨西哥、印度尼西亚、泰国、俄罗斯、南非、印度、安哥拉、菲律宾和阿根廷。

上周在新加坡举行的亚洲黑帽会议上，研究人员 Fyodor Yarochkin、Zhengyu Dong、Vladimir Kropotov 和 Paul Pajares介绍了这些发现。

这家网络安全公司将其描述为一个不断发展的问题，表示威胁行为者正在扩展到其他基于 Android 的物联网设备，例如智能电视、Android 电视盒、娱乐系统，甚至儿童手表。

这些感染遍及全球 180 多个国家/地区，超过 50 个品牌的移动设备受到名为 Guerilla 的恶意软件的破坏。

研究人员说：“根据我们的时间表估计，威胁行为者在过去五年中传播了这种恶意软件。” “从长远来看，对任何具有这种感染的重要关键基础设施的妥协可能会以牺牲合法用户为代价为 Lemon Group 带来可观的利润。”

Guerilla于 2018 年首次被 Sophos 记录，当时它发现 15 个上传到 Play 商店的应用程序具有进行点击欺诈和充当后门的功能。

该恶意软件在 2022 年初还引起了人们的注意，因为它能够拦截与预定义特征相匹配的 SMS 消息，例如与各种在线平台关联的一次性密码 (OTP)，此后不久，威胁行为者将企业名称从 Lemon 更改为 Durian云短信。

根据 Trend Micro 的说法，目标是绕过基于 SMS 的验证并宣传批量虚拟电话号码——这些号码属于毫无戒心的受感染 Android 手机用户——用于出售以创建在线帐户。

虽然此类服务具有隐私优势，允许用户使用临时或一次性电话号码注册服务，但它们也可能被滥用来大规模创建垃圾邮件帐户并进行欺诈。

这家网络安全公司的最新发现表明，SMS 抓取功能只是与通过篡改库加载到 zygote 进程中的下载器组件（又名主插件）关联的众多插件之一。

值得注意的是，同样的修改zygote进程的技术也被另一个 名为Triada的移动木马所采用。

“有了这个，每次其他应用程序进程从受精卵中分叉出来时，它也会被篡改，”研究人员说。“主插件将以当前进程为目标加载其他插件，其他插件将尝试通过钩子控制当前应用程序。”

每个 Guerilla 插件都为 Lemon Group 参与者提供特定的业务功能和货币化机会。下面列出了其中一些 -

• 代理插件，用于从受感染的手机设置反向代理，并允许其他参与者出租对受影响移动设备的网络资源的访问权限

• 用于收集用户的 Facebook cookie 和其他个人资料信息的 Cookie 插件

• WhatsApp 插件劫持会话并发送不需要的消息

• 启动某些应用程序时投放未经授权的广告的 Splash 插件，以及

• 静默插件，用于偷偷安装 APK 文件并启动应用程序

对庞大业务的进一步调查揭示了 Lemon Group 和 Triada 的基础设施重叠，这表明这两个集团可能在某个时候进行了合作。

据信，未经授权的固件修改是通过一家未具名的第三方供应商进行的，该供应商“为手机生产固件组件”，并且还为 Android Auto 生产类似的组件。

披露之际，微软安全研究员 Dimitrios Valsamaras 详细介绍了一种名为 Dirty Stream 的新攻击方法，该方法将Android 共享目标转变为一个向量，用于分发恶意有效负载并从设备上安装的其他应用程序捕获敏感数据。

“这个概念类似于网络应用程序的文件上传漏洞，”Valsamaras说。“更具体地说，恶意应用程序使用特制的内容提供程序来承载它发送到目标应用程序的有效负载。”

“由于发送方控制内容以及流的名称，接收方可能会用恶意内容覆盖关键文件，以防它不执行一些必要的安全检查。此外，当某些条件适用时，接收方也可能被迫将受保护的文件复制到公共目录，将用户的私人数据置于危险之中。”

原文始发于微信公众号（河南等级保护测评）：全球超过 890 万部安卓手机被感染