網路資安威脅
Lemon Group 利用預先感染的裝置打造自己的網路犯罪事業
本文說明 Lemon Group 如何利用預先感染的行動裝置來打造犯罪事業,以及這樣的模式如何複製到其他物聯網 (IoT) 裝置。這項研究的所有發現已在 2023 年 5 月新加坡舉行的 Black Hat Asia 2023 駭客大會上發表。
趨勢科技在接獲並追查一起有關行動裝置被用於詐騙的案件時,分析到一個被預載了兩種不同惡意程式載入器 (loader) 的裝置,這兩個載入器分別會從不同駭客集團下載其他元件到裝置上安裝。不久前,我們才在 5 月舉行的 Black Hat Asia 2023 駭客大會 上發表了這份研究的完整內容,詳細揭露了駭客用到的其他系統、公司名稱與其他營業據點、獲利途徑、Telegram 群組以及員工個人檔案。
本文說明這個我們稱為「Lemon Group」的駭客集團如何透過行銷和銷售預先感染的裝置來打造他們的犯罪事業,以及他們的賺錢策略。此外,我們也大致說明這些裝置是如何遭到感染、使用什麼惡意擴充元件,以及該集團的商業合作關係。
簡單介紹歷史沿革
目前,行動裝置市場已達到上百億美元的規模,而且 估計將在 2025 年達到 180 億美元。2010 年左右,網路上相當流行重刷手機韌體 (改寫或更換裝置的韌體) 的改機方式,以及在背景安裝程式的技巧。手機的 ROM (韌體映像) 可以透過重刷的方式來增加新的功能,或是更新韌體,或者預先安裝與原本不同的作業系統。一些有能力又熱衷改機的開發人員、科技愛好者及玩家,會透過這樣的方式來強化自己的裝置功能,或採用客製化韌體來提升硬體效能、使用體驗、電池續航力或其他目的等等。久而久之,駭客也開始愛上重刷韌體與背景安裝的技巧來從事惡意活動。後來,這類活動開始變得猖獗,駭客會在感染裝置時趁機安裝一些雜七雜八的應用程式,利用隨安裝量付費 (pay-per-install) 的商業模式賺錢。這類應用程式都會伴隨著一個背景安裝擴充元件 (silent plugin),好讓駭客可以隨時推送應用程式到受害裝置上。
根據報導,2016 年當中有許多裝置就是這樣被植入 Triada 惡意程式。2019 年,Google 確認有某第三方廠商使用了一個 OEM 韌體映像卻未通知該 OEM 廠商。2021 年,我們在研究一些手機供應鏈入侵所導致的 SMS PVA (手機簡訊電話認證帳號) 行動殭屍網路時,發現了駭客的殭屍網路及駭客的經營模式。我們發現駭客集團已經將這模式發展成一種犯罪事業,而且至少從 2018 年起便開始建立其殭屍網路。
此駭客集團採用的惡意程式我們稱之為「Guerrilla」,此外,我們也根據其對外營運網頁的網址將該集團命名為「Lemon Group」,就在趨勢科技首次披露其 SMS PVA 殭屍網路之後,該集團已變更了他們網站的網址。此外,我們也找到了他們的後台基礎架構,包括:惡意擴充元件及幕後操縱 (C&C) 伺服器,而且還發現 Guerrilla 惡意程式會與 Triada 集團通訊和/或交流網路流量。我們相信這兩個集團應該在某個時間點曾經合作過,因為他們的 C&C 伺服器基礎架構有部分重疊。
Lemon Group 植入的惡意程式
在追查手機被 Guerrilla惡意程式感染的通報案例時,我們特地買了一支手機並擷取出 ROM 裡面的韌體來進行鑑識分析。我們發現有一個名為「libandroid_runtime.so」的系統函式庫遭到篡改,還有一個名為「println_native」的函式被注入一段程式碼,這段程式碼會在列印記錄檔時被呼叫。接下來,它會從資料區段解密出一個 DEX 檔案並載入記憶體中。這個 DEX 檔案 (SHA256:f43bb33f847486bb0989aa9d4ce427a10f24bf7dcacd68036eef11c82f77d61d) 內含 Lemon Group 的網域 (js***[.]big******[.]com) 以及名為「Sloth」的主擴充元件 (main plugin)。DEX 檔案還有一個以「BSL001」為通道名稱的組態設定,這很可能代表前述的網域。
我們發現,雖然 Lemon Group 看起來是一家大數據、行銷及廣告公司,但其主要業務應該是大數據運用:分析大量資料以及對應的製造商出貨狀況、從不同時間和不同使用者擷取的廣告內容,以及硬體資料與詳細的軟體推送記錄。有了這些資料,Lemon Group 就能找出可感染更多其他應用程式的客戶,比方說,僅針對某些區域的應用程式使用者顯示廣告。
架構:眾多擴充元件與犯罪事業
我們在調查過程中找出了 Lemon Group 惡意程式植入機制的整個架構,他們利用一個篡改過的 zygote 函式庫將某個下載器 (downloader) 載入 zygote 處理程序當中。被載入的下載器 (我們稱之為主擴充元件) 可下載並執行其他擴充元件。這樣一來,每當有其他應用程式的處理程序從 zygote 被複製出來時,該處理程序也同樣也會包含這個主擴充元件。主擴充元件會載入其他擴充元件到當前的處理程序當中,而其他的擴充元件會試圖經由勾掛 (hook) 機制來控制當前的應用程式。Lemon Group 的方法類似 Xposed Framework 的發展方向,兩者都是修改 zygote 處理程序來達成全面性的處理程序注入能力。
透過追查該網域的 HTTP 回應,我們發現了 Lemon Group 的其他 C&C 網域,包括:我們先前介紹過的 SMS 擴充元件。透過追查 SSL 憑證,我們也找到了該集團的一些前端系統。還有另一種追查手法是到 Shodan 搜尋引擎上尋找他們的客製化 HTTP 回應標頭,我們因此而找到了 Lemon Group 的其他相關 IP 位址。透過這方式,我們找出了該集團使用的各種擴充元件以及對應的犯罪事業,以下是其中幾個:
1) SMS 擴充元件:可攔截手機簡訊並讀取其中的特定內容,例如 WhatsApp、京東 (購物網站)、Facebook 等各種平台所發出的一次性密碼 (OTP)。此擴充功能可支援 SMS PVA 服務,該服務專為客戶提供手機電話號碼和 OTP 功能。
2) 代理器 (Proxy) 擴充元件和代理器賣家:可在被感染的手機上建立反向代理器 (reverse proxy),然後利用被感染手機的網路資源來經營其 DoveProxy 業務。
3) Cookie 擴充元件/WhatsApp 擴充元件/Send 擴充元件以及促銷平台:
a. Cookie 擴充元件會勾掛到 Facebook 相關應用程式並攔截某些特定活動以啟動一些事件 (例如 Facebook 應用程式活動清單)。此外還能從應用程式資料目錄蒐集 Facebook 相關的 Cookie 並上傳到 C&C 伺服器。這個擴充元件還能搜刮其他資料,例如:好友清單、個人檔案、電子郵件地址等等。
b. WhatsApp 擴充元件:用來挾持 WhatsApp 連線階段並發送不當訊息。這兩個擴充元件都是針對「海外市場」,因此客戶可使用這些已遭入侵的 Facebook 帳號在 Facebook 上發貼文來幫他們的行銷平台衝流量。目前,Facebook 新帳號已經越來越難註冊,而且新辦的帳號很容易因為從事惡意活動而被封鎖,所以這些已入侵的帳號很適合用於行銷用途。
4) Splash 擴充功能:用來勾掛各種熱門應用程式來攔截特定活動,例如:遇到啟動事件時向廣告商請求廣告,這樣,受害者在啟動裝置上的官方應用程式時就會看到不預期的廣告。
5) Silent (背景安裝) 擴充功能:當有任何活動需要安裝權限時,就會從 C&C 伺服器取得一份工作清單,每一個工作都包含 apk (Android Package) 的 metadata 及對應的動作,例如安裝或解除安裝。這個擴充元件會執行背景安裝工作,並啟動被安裝的應用程式。
品牌重新命名及衝擊
當我們在 2022 年 2 月發表有關 Lemon Group 的研究報告之後,該集團便修改了他們的名稱。五月,他們移除了「Lemon」字樣,並將品牌重新命名為「Durian Cloud SMS」。不過,伺服器並未改變,而且還在正常運作。
我們在監控期間偵測到超過 49 萬個用來讓 Lemon SMS 服務接收一次性密碼的手機號碼,該服務後來改名為 Durian SMS 服務。Lemon SMS PVA 的客戶會需要收到來自京東、WhatsApp、Facebook、QQ、LINE、Tinder 等應用程式的一次性密碼。
利用趨勢科技 Smart Protection Network™ 全球威脅情報網來追蹤這些號碼,可以發現受感染裝置的電話號碼遍及全球,因為該集團所控制的裝置遍布 180 多個國家。其中,前十大國家為:
- 美國
- 墨西哥
- 印尼
- 泰國
- 俄羅斯
- 南非
- 印度
- 安哥拉
- 菲律賓
- 阿根廷
目前我們已經找出其不同賺錢技巧所對應的犯罪事業,例如:利用被感染手機上的 Silent 擴充功能顯示大量廣告、在智慧型電視顯示廣告,以及在 Google Play 應用程式當中暗藏廣告。我們相信駭客也可能竊取受感染裝置的資訊來賺錢,並累積成大數據資料庫來賣給其他駭客集團,作為另一種感染後的賺錢手段。
分支事業:其他物聯網 (IoT) 裝置
本次調查主要研究預先感染的行動裝置,但我們也看過其他 IoT 裝置被 Lemon Group 或其他類似駭客集團感染,例如以下裝置:
- 智慧電視
- Android 電視盒
- 其他顯示裝置 (如:採用 Android 系統的螢幕、娛樂系統)
- 採用 Android 系統的兒童手錶
我們將持續監控這些裝置及其部署情況的最新發展與變化,因為我們尚未確定這些集團是否都跟 Lemon Group 有關。
不過,生產這些手機韌體元件的同一家公司,也生產了 Android Auto 上的類似元件,Android Auto 是 Google 推出專為讓駕駛人在車載資訊娛樂系統儀表板上操作 Android 智慧型手機的應用程式。這將增加及製造某些車載資訊娛樂系統遭到感染的可能性。不過在本文截稿為止,我們並未看到有任何這類裝置的韌體已確定感染此惡意程式。
結論
我們已找到並分析了大量各類行動裝置的韌體映像。由於我們可以監控我們自己的監測資料來尋找裝置和 C&C 伺服器之間的通訊,因此就能更準確發現可能被預先感染的裝置,進而找出並分析其韌體映像 (若有的話) 來看看它是否有遭到感染的痕跡。
在我們從各家廠商蒐集到 50 多個含有駭客集團最初載入器的韌體映像。一些較近期的載入器會使用無檔案技巧來下載並植入惡意程式。針對這項最新發展,一些公開的威脅情報庫尚未收錄這些新的載入器,而且這類裝置和映像的鑑識分析也難上許多。不過,我們還是可以透過監測資料的監控來發掘嘗試下載的動作,而且一旦找到主要元件,我們就能掌握解開惡意檔案的解密金鑰。
對比我們分析的裝置數量與 Lemon Group 宣稱的 890 萬感染數字,很可能還有更多裝置已經被預先感染了,但卻還未連上 C&C 伺服器,因此也還沒被駭客集團用到或啟用,或者尚未運送到目標國家或市場。就在我們於 Black Hat 上揭露之後沒多久,我們就發現刊登上述感染數字的網頁已經被下架。不過,單看我們研究調查的偵測數據就能發現,有超過 50 多個行動裝置品牌已經被 Guerilla 惡意程式感染,還有一個「模仿」知名行動裝置廠商高階產品線的品牌。根據我們所推測的時間軸,駭客集團在過去五年當中一直在散播這個惡意程式。任何關鍵基礎設施一旦感染此惡意程式就可能遭到入侵,進而為 Lemon Group 帶來龐大的長期獲利,但這一切都是犧牲合法用戶所換來的。
入侵指標 (IoC)
以下是我們找到與主擴充元件 Sloth 相關的入侵指標,其趨勢科技偵測名稱為「AndroidOS_Guerilla」:
- f43bb33f847486bb0989aa9d4ce427a10f24bf7dcacd68036eef11c82f77d61d – channel BSL001
- e650336f4b5ba1e30cb3e9c5545dac715346c97641b72adff419474925835a43 – channel BSL002
- 3ddc3bd64db1e36976b8a1c9053e81ceb734b43c21a943c15a8e750b3b88f4e8 – channel milimi2083
- 1b1239af5652b168cfab49ada2f31d77554e7e8c12ec29ca5bbbbea360dd5dd4 – channel wg_au_jzhk11
- 6fe61f3e68e73e543de35605bbb46624111af96dc7911f86d00b3760d7688afb – channel wg_lingx02
- dcb29a49fc12336555f7ce8332663e3693956917de850522c670b9f96a29210d – channel mikaids2071
- 2da981e50267791b195e1196735d680d4aa1498340320c86f8c4bb628ece6cc9 – channel BSL004
- 6fe61f3e68e73e543de35605bbb46624111af96dc7911f86d00b3760d7688afb – channel wg_lingx02
- e4d1026fc527f0e1c1175e15b953c2cef6f994565c5e0385055fb617b60d6a98 – channel mibodao2097
- 68cdef672077cd1c70e0293c449f475cf234d032f2050f4dbc03fc0328846948 – channel midingheng0925
- eee2e726eef0e5673176d38da27f40089f34b90916acf8b4f12ae4ac364d2c84 – channel wg_lava01
- bc48a29eff1345236d6f10d15a340b66f2582bf0337707c6f7e3aaa5202a0f19 – channel mikupai2113
原文出處:Lemon Group’s Cybercriminal Businesses Built on Preinfected Devices