Благодаря сотрудничеству с крупными поставщиками, Lemon Group получила большую базу потенциальных жертв.
Компания Trend Micro предупредила о том, что злоумышленники получили контроль над миллионами смартфонов более 50 брендов, на которых было предустановлено вредоносное ПО.
С 2021 года Trend Micro отслеживает кампанию, за которой стоит группировка, получившая название Lemon Group, а вредоносное ПО, предустановленное на устройствах, называется Guerrilla. В новом отчете Trend Micro провела анализ вредоносного ПО Guerrilla. Для этого специалисты компании приобрели смартфон и извлекли его образ ROM для расследования.
«Мы выявили ряд бизнесов, которые Lemon Group ведет для крупных компаний по работе с данными, маркетингу и рекламе. Основной бизнес заключается в использовании больших данных: анализе огромного количества данных и соответствующих характеристик поставок производителей, различного рекламного контента, полученного от разных пользователей в разное время, и данных об аппаратном обеспечении с подробной информацией о программном обеспечении», - объяснили в Trend Micro.
По словам исследователей, такая деятельность позволяет Lemon Group отслеживать клиентов, которых можно заражать вредоносным ПО для дополнительной монетизации. Например, хакеры могут показывать рекламу только пользователям из определенных регионов.
Вредоносный модуль от Lemon Group доставляет загрузчик, который выступает в качестве основного плагина и который в свою очередь может загружать и запускать другие плагины.
Второстепенные плагины могут использоваться в следующих целях:
Такие вредоносные модули обычно устанавливаются на устройствах не OEM-производителями, а сторонними поставщиками, которым OEM-производители предоставляют системный образ для добавления новых функций, которые могут включать вредоносное ПО типа Guerrilla без ведома OEM-производителя.
Trend Micro отслеживала запросы от устройств, на которых были активны сервисы Lemon Group и обнаружила более 490 000 номеров телефонов из более чем 180 стран, в том числе из США, Мексики, Индонезии, России, Индии.
На своём сайте Lemon Group заявила, что хакеры могут скомпрометировать 8,9 млн. устройств. Страница с этими цифрами была недавно удалена – это указывает на то, что фактическое количество устройств с предустановленным вредоносным ПО гораздо больше.
Анализ Trend Micro также подтвердил наличие Guerrilla в смарт-телевизорах, приставках Android TV, часах Android для детей и других IoT-устройствах.
Спойлер: мы раскрываем их любимые трюки