Kommentare zu folgendem Beitrag: Guerilla-Malware: Cyberkriminelle infizieren Millionen Android-Geräte vor dem Verkauf
Eine mögliche Angriffsquelle aber könnte die Kompromittierung der Lieferkette sein.
Das bedeutet, dass die Schadsoftware bereits während des Herstellungs- oder Distributionsprozesses auf die Geräte gelangt. Eine andere Möglichkeit ist die Manipulation von Fremdsoftware oder Firmware-Updates.
Das scheint ein riesen Sumpf zu sein. Allerdings geht es laut Trendmicro nicht hierbei um eine simple Verteilung von irgendwelcher Malware, sondern um den Aufbau riesiger Strukturen, über mehrere Jahre hinweg:
Im Jahr 2016 wurde Berichten zufolge Triada- Malware in mehrere Geräte implantiert, und im Jahr 2019 bestätigte Google einen Fall, in dem OEM-Images von Drittanbietern verwendet wurden, ohne das OEM-Unternehmen zu benachrichtigen. Im Jahr 2021 untersuchten wir die Erkennung des mobilen Botnetzes SMS PVA (SMS Phone Verified Accounts) , das durch kompromittierte Angriffe auf die mobile Lieferkette vorangetrieben wurde, als wir das Botnetz und die Operationen der Bedrohungsakteure entdeckten. Wir fanden heraus, dass die Gruppe daraus ein kriminelles Unternehmen gemacht und das Netzwerk seit mindestens 2018 aufgebaut hat.
Wir haben die Malware als Guerrilla identifiziert und von der Gruppe der Bedrohungsakteure eingesetzt, die wir aufgrund der URLs ihrer kundenorientierten Seiten „Lemon Group“ nannten (die Gruppe hat inzwischen ihre Website-URLs nach den ersten Berichten von Trend Micro über die SMS-PVA-Botnet-Kampagne geändert). . Wir identifizierten die Infrastruktur ihres Backends, einschließlich der bösartigen Plugins und Command and Control (C&C)-Server, und beobachteten eine Überschneidung: den Austausch der Guerrilla-Malware mit dem der Kommunikation und/oder dem Netzwerkfluss der Triada-Betreiber. Wir glauben, dass diese beiden Gruppen irgendwann zusammengearbeitet haben, da wir gewisse Überschneidungen in ihrer C&C-Serverinfrastruktur festgestellt haben.
Diese Erkenntnisse und vieles mehr, findet man hier bei dem Antivirenhersteller:
1 „Gefällt mir“
Was, wie, wo… welche Geräte, kann man sein gerät irgendwie Überprüfen… Mehr Technische Informationen bitte.
Hier steht nur, das es eine Malware gibt, die Millionen Geräte Infiziert hat.
Und was jetzt ?
Trend Micro hatte ja nicht näher erläutert, wie die Lemon Group Geräte mit der schädlichen Firmware infiziert hat. Sie haben jedoch nun klargestellt, dass die von den Analysten untersuchten Geräte mit neuen ROMs neu geflasht wurden. Ein originales ROM des jeweiligen Herstellers befand sich also schon, so wie es eigentlich sein sollte, auf den Geräten und wurde anschließend quasi „überspielt“ mit der Guerilla-Firmware Version!
Die Analysten identifizierten über 50 verschiedene ROMs, die mit anfänglichen Malware-Loadern infiziert waren und auf verschiedene Android-Geräteanbieter abzielten.
Trendmicro gibt irgendwie keine Hersteller-Namen raus!! Die spezifischste Aussage dazu, wäre diese:
But noting our detections for this investigation alone, we were able to identify over 50 brands of mobile devices that have been infected by Guerilla malware, and one brand we’ve identified as a “Copycat” brand of the premium line of devices from leading mobile device companies. Following our timeline estimates, the threat actor has spread this malware over the last five years. A compromise on any significant critical infrastructure with this infection can likely yield a significant profit for Lemon Group in the long run at the expense of legitimate users.
Weitere Infos → https://www.trendmicro.com/en_us/research/23/e/lemon-group-cybercriminal-businesses-built-on-preinfected-devices.html
Vergleicht man die Anzahl unserer analysierten Geräte mit der angeblichen Reichweite der Lemon Group von 8,9 Millionen, ist es sehr wahrscheinlich, dass viel mehr Geräte vorinfiziert wurden, aber keine Kommunikation mit den C&C-Server ausgetauscht haben! Oder vom Bedrohungsakteur nicht verwendet oder aktiviert wurden oder dies noch nicht getan haben, weil sie noch in das Zielland oder den Zielmarkt verteilt werden.
Jetzt müsste man noch wissen, ob man die Malware irgendwie anhand Existierender Dateien oder Prozesse erkennen kann.
Das Entfernen mit einem Stock Rom ist wieder etwas anderes.
Dazu müsste man eben wissen, ob es einen betrifft.
Theoretisch kann es ja möglich sein, das die Malware auch in verfügbaren Custom Roms vorhanden ist.
Man hatte eine Systembibliothek namens libandroid_runtime.so gefunden , die manipuliert wurde, um einen Snippet-Code in eine Funktion namens „println_native“ einzufügen. Dies wird beim Drucken von Protokollen aufgerufen. Anschließend entschlüsselt dieser injizierte Code eine DEX-Datei aus dem Datenabschnitt und lädt sie in den Speicher. Diese DEX-Datei (SHA256: f43bb33f847486bb0989aa9d4ce427a10f24bf7dcacd68036eef11c82f77d61d) hat die Domäne der Lemon Group ( js**[.]big******[.]com* ) sowie das Haupt-Plugin namens „Sloth“. In der DEX-Datei ist eine Konfiguration mit dem Kanalnamen „BSL001“ geschrieben, der wohl für diese Domäne steht.
