Cyber-Kriminalität
Cyberkriminelle Geschäfte über vorinfizierte Geräte
Die Lemon Group setzt auf vorinfizierte mobile Geräte, um mit Hilfe von Plugins gewinnbringende Geschäfte zu machen. Wie wurden diese Geräte infiziert, welche bösartigen Plugins verwenden sie und welche beruflichen Beziehungen unterhalten die Gruppen?
Nach einem Bericht über mobile Geräte, die für eine Betrugskampagne verwendet wurden, analysierten wir eines der Geräte, auf dem zwei verschiedene Loader vorinstalliert waren, die andere Komponenten von zwei verschiedenen Bedrohungsgruppen herunterladen konnten. Die vollständigen Ergebnisse der Untersuchung haben wir auf der Black Hat Asia 2023-Konferenz vorgestellt. Es geht auch um sämtliche Details zu anderen Systemen, die von den Bedrohungsakteuren verwendet werden, zu ihren Unternehmungen sowie weiteren kommerziellen Frontends für den Betrieb, zu Monetarisierungskanälen, Telegram-Gruppen und Mitarbeiterprofilen.
Wir geben einen Einblick in die gewinnbringenden Geschäfts- und Monetarisierungsstrategien auf Basis der vorinfizierten Geräte und gehen der Frage nach, wie diese Geräte infiziert wurden, welche bösartigen Plugins sie verwenden und welche beruflichen Beziehungen die Gruppen unterhalten.
Kurzer Rückblick
Der Markt für mobile Geräte geht in die Milliarden und wird bis 2025 schätzungsweise 18 Milliarden erreichen. Um 2010 wurden das Reflashen (Neuprogrammierung und/oder Ersetzen der bestehenden Firmware eines Geräts durch eine neue) und die lautlose Installation üblich. Das ROM-Image von Mobiltelefonen kann neu geflasht werden, um das besagte Image mit neuen Softwarefunktionen und Firmware-Updates zu modifizieren, oder es kann vorinstalliert werden, um ein anderes Betriebssystem als das Original auszuführen.
Entwickler und Bastler, die sich mit der Verbesserung ihrer jeweiligen Geräte auskennen, taten dies, um die Funktionen ihrer Telefone zu maximieren und/oder ihre ROMs u. a. für eine bessere Hardware, Benutzererfahrung oder Akkuleistung zu justieren. Mit der Zeit wandten sich Bedrohungsakteure für bösartige Aktivitäten ebenfalls diesen Techniken zu. Sie setzten die Methoden immer häufiger ein, um unerwünschte Anwendungen zu installieren und mit Pay-Per-Install Geld zu verdienen. Diese Apps wurden von einem Silent Plugin begleitet, das Apps auf das Gerät des Opfers schob, wann immer sie wollten.
2016 wurde Berichten zufolge Triada-Malware in mehrere Geräte eingeschleust, und 2019 bestätigte Google einen Fall, in dem OEM-Images von Drittanbietern verwendet wurden, ohne das OEM-Unternehmen zu informieren. 2021 erforschten wir das mobile Botnet SMS-PVA (SMS Phone Verified Accounts), das aus Angriffen auf die mobile Lieferkette gespeist wurde. Wir fanden heraus, dass die Gruppe das Botnet in ein kriminelles Unternehmen verwandelte und das Netzwerk mindestens seit 2018 aufgebaut hatte.
Wir identifizierten die Schadsoftware als Guerilla-Malware, die von einer Gruppe von Bedrohungsakteuren eingesetzt wurde, die wir aufgrund der URLs ihrer Kundenseiten „Lemon Group“ nannten (die Gruppe hat ihre Website-URLs nach den ersten Berichten von Trend Micro über die SMS-PVA-Botnet-Kampagne inzwischen geändert). Wir ermittelten die Infrastruktur ihres Backends, einschließlich der bösartigen Plugins und Command-and-Control (C&C)-Server, und stellten eine Überschneidung fest: den Austausch der Guerrilla-Malware mit dem Kommunikations- und/oder Netzwerkfluss der Triada-Betreiber. Wir gehen davon aus, dass diese beiden Gruppen zu einem bestimmten Zeitpunkt zusammen gearbeitet haben, da wir eine gewisse Überschneidung ihrer C&C-Server-Infrastruktur beobachteten.
Die eingeschleuste Malware
Technische Einzelheiten zur Malware liefert der Originalbeitrag.
Die Lemon Group ist in einer Reihe von Geschäftsbereichen für Big Data-, Marketing- und Werbeunternehmen tätig, doch das Hauptgeschäft ist die Nutzung von Big Data: Die Analyse riesiger Datenmengen und der entsprechenden Merkmale der Herstellerlieferungen, verschiedener Werbeinhalte, die von verschiedenen Nutzern zu unterschiedlichen Zeiten kommen, sowie Hardware-Daten mit detailliertem Software-Push. Damit können die Kriminellen Kunden überwachen, die mit anderen Apps weiter infiziert werden, etwa um Werbung nur für App-Nutzer aus bestimmten Regionen anzuzeigen.
Mehrere Plugins und kriminelle Unternehmungen
Die Architektur der Lemon Group-Malware besteht aus einem eingeschleusten Code, der eine manipulierte Zygote-Abhängigkeitsbibliothek darstellt, die einen Downloader in einen Zygote-Prozess lädt. Der Downloader (Haupt-Plugin) kann weitere Plugins herunterladen und ausführen, die in den Zygote-Prozess integriert sind. Ziel ist immer der aktuelle Prozess, und die anderen Plugins versuchen, die aktuelle Anwendung über einen Hook zu kontrollieren. Die Methode der Lemon Group ähnelt der Entwicklung des Xposed-Frameworks.
Weitere Einzelheiten bietet der Originalbeitrag, einschließlich der Beschreibung der verschiedenen Plugins und deren kriminellen Geschäfts.
Rebranding und Auswirkungen
Anfang 2022 änderte die Lemon Group ihren Firmennamen, nachdem wir eine Studie über ihre Aktivitäten veröffentlicht hatten. Im Mai entfernte sie einige Spuren von „Lemon“ und benannte sich in „Durian Cloud SMS“ um. Die Server sind jedoch immer noch die gleichen und intakt.
Im Rahmen unseres Monitorings fanden wir über 490.000 Handynummern, die für OTP-Anfragen des Lemon SMS und später des Durian SMS Service verwendet wurden. Die Kunden von Lemon SMS PVA generierten OTPs von Plattformen wie JingDong, WhatsApp, Facebook, QQ, Line und Tinder, neben anderen Anwendungen.
Einige der Unternehmungen werden für verschiedene Monetarisierungstechniken genutzt, wie z. B. das umfangreiche Laden von Werbung mithilfe von Silent Plugins, die auf infizierte Telefone aufgespielt werden, Smart-TV-Werbung und Google Play-Apps mit versteckter Werbung. Wahrscheinlich kann der Bedrohungsakteur auch Informationen vom infizierten Gerät stehlen, um sie für die Sammlung von Big Data zu verwenden, bevor er sie an andere Bedrohungsakteure als weiteres Monetarisierungsschema nach der Infektion verkauft.
Weitere IoT-Geräte
Unsere Untersuchung befasste sich hauptsächlich mit vorinfizierten Mobilgeräten. Wir haben jedoch auch andere IoT-Geräte gesehen, die von der Lemon Group oder anderen ähnlichen Bedrohungsgruppen infiziert wurden, wie etwa Smart TVs, Android TV-Boxen, weitere Display-Geräte wie Android-basierte Bildschirme sowie Kinderuhren.
Dasselbe Unternehmen, das die Firmware-Komponenten für Mobiltelefone herstellt, produziert auch ähnliche Komponenten für Android Auto, eine mobile App, die einem Android-Smartphone ähnelt und in den Informations- und Unterhaltungsgeräten des Armaturenbretts von Fahrzeugen verwendet wird. Dies erhöht die Wahrscheinlichkeit, dass einige Unterhaltungssysteme in Fahrzeugen bereits infiziert sind. Doch bisher haben wir noch keine Geräte-Firmware identifiziert, die nachweislich mit diesem speziellen Malware Payload infiziert ist.
Fazit
Wir haben über 50 verschiedene Images von verschiedenen Anbietern identifiziert, die erste Loader enthalten. Die neueren Versionen der Loader verwenden dateilose Techniken beim Herunterladen und Einschleusen anderer Payloads. Aufgrund dieser jüngsten Entwicklung werden diese aktualisierten Loader nicht in öffentlichen Repositories für Bedrohungsdaten aufgeführt, und die forensische Analyse solcher Geräte und Images ist erheblich schwieriger geworden. Dennoch können wir die Download-Versuche durch Telemetrie-Überwachung erkennen, und sobald die Hauptkomponente identifiziert ist, verfügen wir über die Entschlüsselungsschlüssel für die Payload.
Vergleicht man die von uns analysierte Anzahl von Geräten mit der von der Lemon Group angegebenen mutmaßlichen Reichweite von 8,9 Millionen, so ist es sehr wahrscheinlich, dass mehr Geräte vorinfiziert wurden, aber keine Kommunikation mit dem C&C-Server stattfand, vom Bedrohungsakteur nicht verwendet oder aktiviert wurde oder noch nicht im Zielland oder -markt verbreitet wurde. Nach unseren Schätzungen hat der Bedrohungsakteur diese Malware in den letzten fünf Jahren verbreitet. Eine Kompromittierung wichtiger kritischer Infrastrukturen durch diese Infektion kann der Lemon Group auf lange Sicht wahrscheinlich einen beträchtlichen Gewinn auf Kosten der legitimen Nutzer einbringen.
Der Originalbeitrag enthält auch die Indicators of Compromise (IOCs) bezüglich des Haupt-Plugins.