全球数百万部智能手机预装了Guerrilla恶意软件

趋势科技(Trend Micro)警告说，由于设备上预装了恶意软件，威胁行为者已经控制了分布在全球的数百万部智能手机。

多年来，众所周知，智能手机，尤其是廉价设备，可能会附带可疑固件，使公司或其他实体能够访问用户数据。

最著名的行动之一涉及 Triada，这是一种安装在 Android 设备上的高级木马程序，于 2016 年曝光。 

自 2021 年以来，趋势科技一直在追踪一项似乎与 Triada 有关的不同行动。

该活动背后的组织被网络安全公司追踪为 Lemon Group，预装在设备上的恶意软件称为 Guerrilla。 

该活动至少从 2018 年开始就一直活跃，在趋势科技去年详细介绍了其运营情况后，威胁行为者将其运营名称从 Lemon 更改为 Durian Cloud SMS。

在周三发布的一份新报告中，趋势科技表示，在获得一部手机并提取其 ROM 映像以进行取证调查后，它对 Guerrilla 恶意软件进行了分析。 

虽然我们确定了 Lemon Group 为大数据、营销和广告公司做的一些业务，但主要业务涉及大数据的利用：分析海量数据以及制造商出货量的相应特征，获得不同的广告内容来自不同用户在不同时间，以及详细软件推送的硬件数据。 

这让 Lemon Group 可以监控可能进一步感染其他应用程序的客户，例如专注于只向某些地区的应用程序用户展示广告。

Lemon Group 植入的植入程序加载了一个下载器，该下载器被趋势科技称为主插件，而主插件又可以获取和运行其他插件。 

二级插件可用于捕获 SMS 消息（包括包含 WhatsApp 和 Facebook 等流行服务的一次性密码的消息），在受感染的手机上设置反向代理。

收集应用程序数据，劫持 WhatsApp 等应用程序发送消息，并在启动官方应用程序时投放广告。 

这些类型的植入物通常不是由 OEM 放置在设备上，而是由第三方供应商放置在设备上，OEM 向这些供应商提供用于添加新功能的系统映像。

他们添加的功能可能包括 Guerrilla 等恶意软件，而 OEM 并不知道它的存在。 

Trend Micro 监控了来自启用 Lemon 和 Durian SMS 服务的设备的请求，并在 180 多个国家/地区发现了超过 49万个电话号码。

前10名的国家是美国、墨西哥、印度尼西亚、泰国、俄罗斯、南非、印度、安哥拉、菲律宾和阿根廷。

该安全公司指出，Lemon Group 的网站曾宣传它可以达到 890 万台设备，显示这些数字的页面最近已被删除。

这表明预装恶意软件的设备的实际数量要大得多。 

虽然在这种情况下，趋势科技的分析主要集中在智能手机上，但该公司还在智能电视、Android 电视盒、基于 Android 的儿童智能手表和其他物联网产品上发现了来自 Lemon Group 和类似威胁行为者的恶意软件。

仅注意到我们对这项调查的检测，我们就能够识别出 50 多个品牌的移动设备已被 Guerilla 恶意软件感染，并且我们将一个品牌确定为来自领先移动设备的首屈一指的“山寨”品牌设备公司。

从长远来看，对任何具有这种感染的重要关键基础设施的威胁可能会以牺牲合法用户为代价为 Lemon Group 带来可观的利润。

根据有关移动设备被用于欺诈活动的报告，我们分析了其中一个预装了两种不同加载程序的设备，这些加载程序能够从两个不同的威胁组下载其他组件。

在我们刚刚在 5 月的 Black Hat Asia 2023 会议上展示的完整研究中，我们确定了威胁参与者使用的其他系统、他们的公司和其他运营中的商业前端、货币化渠道、电报群和员工档案的全部细节.

这篇博文简要介绍了建立在我们命名为“Lemon Group”的威胁行为者团体之一营销和销售的预感染设备之上的赚钱业务和货币化策略。它还概述了这些设备是如何被感染的、使用的恶意插件以及这些组织的职业关系。

移动设备市场规模已达数十亿，预计到 2025 年将达到 180 亿。2010 年左右，刷新（描述为重新编程和/或用新设备替换设备的现有固件）和静默安装变得普遍。

可以刷新手机的 ROM 映像以使用新的软件功能、固件更新修改所述映像，或者预装到货以运行与原始操作系统不同的操作系统 (OS)。知识渊博且热衷于改进各自设备的开发人员、业余爱好者和发烧友这样做是为了最大限度地发挥各自手机的功能和/或定制他们的 ROM 以获得更好的硬件、用户体验或电池寿命性能等。

随着时间的推移，威胁行为者转向刷新和静默安装作为恶意活动的技术。当威胁行为者植入不需要的应用程序以通过按安装付费方案获利时，手机被感染，这些变得猖獗。这些应用程序附带一个静默插件，可以在受害者需要时将应用程序推送到受害者的设备。

据报道，2016 年，Triada恶意软件被植入多台设备，2019 年，谷歌证实了第三方供应商在未通知 OEM 公司的情况下使用 OEM 图像的案例。

2021 年，当我们发现僵尸网络和威胁参与者的操作时，我们正在研究由受损的移动供应链攻击推动的 SMS PVA（SMS 电话验证帐户）移动僵尸网络的检测。我们发现该团伙至少从 2018 年就将其变成了一家犯罪企业并建立了网络。

被篡改的zygote加载，主插件下载另一个插件，另一个用于海外推广

Lemon Group 植入物概览

原文链接：

https://www.trendmicro.com/en_us/research/23/e/lemon-group-cybercriminal-businesses-built-on-preinfected-devices.html

原文始发于微信公众号（网络研究院）：全球数百万部智能手机预装了Guerrilla恶意软件