"Lemon Group" म्हणून ट्रॅक केलेल्या मोठ्या सायबर क्राइम एंटरप्राइझने जवळपास 9 दशलक्ष अँड्रॉइड-आधारित स्मार्टफोन, घड्याळे, टीव्ही आणि टीव्ही बॉक्सवर 'Guerilla' म्हणून ओळखले जाणारे मालवेअर प्री-इंस्टॉल केले आहे.
Pre Installed Malware On Millions Of Android ; सायबर क्राइम टोळीने लाखो अँन्ड्रॉईड डिव्हाइसांना मालवेअर पूर्व-संक्रमित केले – धमकी देणारे कलाकार अतिरिक्त पेलोड लोड करण्यासाठी, SMS मधून एक-वेळचे पासवर्ड रोखण्यासाठी, संक्रमित डिव्हाइसवरून रिव्हर्स प्रॉक्सी सेट करण्यासाठी, WhatsApp सत्रे हायजॅक करण्यासाठी आणि बरेच काही करण्यासाठी गुरिला वापरतात.
ट्रेंड मायक्रोच्या अहवालानुसार, ज्यांच्या विश्लेषकांनी मोठ्या गुन्हेगारी उद्योगाचा शोध लावला आणि अलीकडील ब्लॅकहॅट एशिया कॉन्फरन्समध्ये त्याबद्दल तपशील सादर केला, काही हल्लेखोरांच्या पायाभूत सुविधा 2016 पासून ट्रायडा ट्रोजन ऑपरेशनसह ओव्हरलॅप होतात.
ट्रायडा हे बँकिंग ट्रोजन होते जे जागतिक स्तरावर त्यांची उत्पादने विकणाऱ्या कमी किमतीच्या चीनी ब्रँड्सच्या 42 Android स्मार्टफोन मॉडेल्समध्ये पूर्व-इंस्टॉल केलेले आढळले.
- ट्रेंड मायक्रो म्हणतात की त्यांनी फेब्रुवारी 2022 मध्ये पहिल्यांदा लेमन ग्रुपचा पर्दाफाश केला आणि त्यानंतर लगेचच, ग्रुपने कथितपणे “ड्युरियन क्लाउड एसएमएस” नावाने रीब्रँड केले.
- तथापि, हल्लेखोरांची पायाभूत सुविधा आणि डावपेच अपरिवर्तित राहिले.
- “आम्ही लेमन ग्रुप मोठ्या डेटा, मार्केटिंग आणि जाहिरात कंपन्यांसाठी करत असलेले अनेक व्यवसाय ओळखले असताना, मुख्य व्यवसायात मोठ्या डेटाचा वापर समाविष्ट आहे: मोठ्या प्रमाणात डेटाचे विश्लेषण करणे आणि उत्पादकांच्या शिपमेंटच्या संबंधित वैशिष्ट्यांचे विश्लेषण करणे, विविध जाहिरात सामग्री प्राप्त करणे.
- वेगवेगळ्या वेळी वेगवेगळ्या वापरकर्त्यांकडून, आणि तपशीलवार सॉफ्टवेअर पुशसह हार्डवेअर डेटा,” ट्रेंड मायक्रो अहवाल स्पष्ट करतो.
malware इम्प्लांट करणे –
ट्रेंड मायक्रोने लेमन ग्रुप गुरिल्ला असलेल्या दुर्भावनायुक्त फर्मवेअरसह डिव्हाइसेसना कसे संक्रमित करते याबद्दल तपशीलवार वर्णन केले नाही परंतु स्पष्ट केले की त्याच्या विश्लेषकांनी तपासलेल्या डिव्हाइसेसना नवीन ROM सह पुन्हा फ्लॅश केले गेले होते.
विश्लेषकांनी विविध Android डिव्हाइस विक्रेत्यांना लक्ष्य करून, प्रारंभिक मालवेअर लोडरने संक्रमित 50 हून अधिक भिन्न ROMs ओळखले.
“गुन्हेगारी गटाने लाखो अँड्रॉइड डिव्हाइसेस, मुख्यतः मोबाईल फोन, पण स्मार्ट घड्याळे, स्मार्ट टीव्ही आणि बरेच काही संक्रमित केले आहेत,” ट्रेंड मायक्रोच्या ब्लॅक हॅट टॉकचे वर्णन वाचते.
“संक्रमणामुळे ही उपकरणे मोबाइल प्रॉक्सी, एसएमएस संदेश चोरणे आणि विकण्याची साधने, सोशल मीडिया आणि ऑनलाइन मेसेजिंग खाती आणि जाहिरातींद्वारे कमाई आणि क्लिक फसवणूक होते.”
ही तडजोड साध्य करण्याच्या संभाव्य मार्गांमध्ये पुरवठा साखळी हल्ले, तडजोड केलेले तृतीय-पक्ष सॉफ्टवेअर, तडजोड केलेली फर्मवेअर अपडेट प्रक्रिया किंवा उत्पादन निर्मिती किंवा वितरण साखळीतील अंतर्गत व्यक्तींची नोंद करणे यांचा समावेश होतो.
ट्रेंड मायक्रो म्हणतात की त्यांनी सुरुवातीला एक Android फोन खरेदी केला आणि लेमन ग्रुपने प्रत्यारोपित केलेले सुधारित फर्मवेअर शोधण्यासाठी त्याची “ROM प्रतिमा” काढली.
DEX फाईलचा कोड मेमरीमध्ये लोड केला जातो आणि आक्रमणकर्त्यांनी वापरलेले मुख्य प्लगइन सक्रिय करण्यासाठी Android Runtime द्वारे कार्यान्वित केले जाते, ज्याला “स्लॉथ” म्हणतात आणि त्याचे कॉन्फिगरेशन देखील प्रदान करते, ज्यामध्ये संप्रेषणासाठी वापरण्यासाठी लेमन ग्रुप डोमेन आहे.
Guerrilla malware –
गुरिल्ला मालवेअरसाठी मुख्य प्लगइन अतिरिक्त प्लगइन लोड करते जे विशिष्ट कार्यक्षमता पार पाडण्यासाठी समर्पित आहेत, यासह:
- SMS Plugin: SMS द्वारे प्राप्त WhatsApp, JingDong आणि Facebook साठी वन-टाइम पासवर्ड इंटरसेप्ट करते.
- Proxy Plugin: संक्रमित फोनवरून एक रिव्हर्स प्रॉक्सी सेट करते ज्यामुळे आक्रमणकर्त्यांना पीडिताच्या नेटवर्क संसाधनांचा वापर करण्याची परवानगी मिळते.
- Cookie Plugin: अॅप डेटा डिरेक्टरीमधून Facebook कुकीज डंप करते आणि त्या C2 सर्व्हरवर टाकतात. तडजोड केलेल्या डिव्हाइसवरून अवांछित संदेश प्रसारित करण्यासाठी हे व्हॉट्सअॅप सत्रे देखील हायजॅक करते.
- Splash Plugin: पीडित जेव्हा कायदेशीर अनुप्रयोग वापरत असतात तेव्हा त्यांना अनाहूत जाहिराती दाखवते.
- Silent Plugin: C2 सर्व्हरकडून प्राप्त झालेले अतिरिक्त APK इंस्टॉल करते किंवा निर्देशानुसार विद्यमान अनुप्रयोग अनइंस्टॉल करते. इन्स्टॉलेशन आणि अॅप लाँच पार्श्वभूमीत घडतात या अर्थाने “शांत” आहेत.
ही फंक्शन्स लेमन ग्रुपला एक वैविध्यपूर्ण कमाई धोरण स्थापित करण्यास अनुमती देतात ज्यामध्ये तडजोड केलेली खाती विकणे, नेटवर्क संसाधने हायजॅक करणे, अॅप-इंस्टॉलेशन सेवा ऑफर करणे, फसव्या जाहिरात इंप्रेशन निर्माण करणे, प्रॉक्सी सेवा ऑफर करणे आणि SMS फोन सत्यापित खाती (PVA) सेवा समाविष्ट असू शकतात.
जगभरातील प्रभाव –
ट्रेंड मायक्रोने अहवाल दिला आहे की लेमन ग्रुपने यापूर्वी 180 देशांमध्ये पसरलेल्या सुमारे नऊ दशलक्ष उपकरणांवर नियंत्रण ठेवण्यासाठी त्याच्या सेवा-ऑफर साइटवर दावा केला होता. सर्वाधिक प्रभावित झालेल्या देशांमध्ये युनायटेड स्टेट्स, मेक्सिको, इंडोनेशिया, थायलंड आणि रशिया यांचा समावेश आहे.
“पुढे, आमच्या टेलीमेट्री डेटाद्वारे, आम्ही पुष्टी केली की जगभरात लाखो संक्रमित उपकरणे कार्यरत आहेत. या उपकरणांचा मुख्य क्लस्टर दक्षिण-पूर्व आशिया आणि पूर्व युरोपमध्ये आहे, तथापि, ही खरोखर जागतिक समस्या आहे,” ट्रेंड मायक्रोने सांगितले.
ट्रेंड मायक्रो सूचित करते की गुरिल्लाने संक्रमित Android डिव्हाइसेसची वास्तविक संख्या जास्त असू शकते. तथापि, त्या उपकरणांनी अद्याप आक्रमणकर्त्यांच्या कमांड आणि कंट्रोल सर्व्हरशी संवाद साधला नाही कारण ते अद्याप खरेदीच्या प्रतीक्षेत आहेत.
ऑपरेशनचे निरीक्षण करून, विश्लेषकांनी JingDong, WhatsApp, Facebook, QQ, Line, Tinder आणि इतर प्लॅटफॉर्मवरून SMS PVA सेवांसाठी वन-टाइम पासवर्ड विनंत्या तयार करण्यासाठी वापरलेले 490,000 हून अधिक मोबाइल नंबर शोधले.
या सायबर क्राइम सिंडिकेटने ऑफर केलेल्या केवळ एका सेवेशी जोडलेल्या अर्धा दशलक्षाहून अधिक तडजोड केलेल्या उपकरणांची ओळख त्यांच्या दुर्भावनापूर्ण ऑपरेशन्सची लक्षणीय जागतिक पोहोच दर्शवते.
BleepingComputer ने Trend Micro ला विचारले आहे की त्यांनी पूर्व-संक्रमित फोन कोठून खरेदी केला आहे, तो कसा विकला जात आहे आणि कोणत्या ब्रँड्सवर परिणाम झाला आहे, परंतु लगेच उत्तर उपलब्ध झाले नाही.
Pre Installed Malware On Millions Of Android ; सायबर क्राइम टोळीने लाखो अँन्ड्रॉईड डिव्हाइसांना मालवेअर पूर्व-संक्रमित केले