Dünyanın dört bir yanındaki milyonlarca Android telefon kullanıcısı, yalnızca cihazlara sahip oldukları için Lemon Group adlı bir grubun mali refahına her gün katkıda bulunuyor.
Bu kullanıcıların haberi olmadan, Lemon Group’un operatörleri, cihazlarını satın almadan önce önceden virüs bulaştırdılar. Artık telefonlarını sessizce SMS mesajlarını ve tek kullanımlık şifreleri (OTP’ler) çalmak ve satmak, istenmeyen reklamlar yayınlamak, çevrimiçi mesajlaşma ve sosyal medya hesapları kurmak ve diğer amaçlar için bir araç olarak kullanıyorlar.
Lemon Group’un kendisi, müşterilerinin farklı şekillerde suistimal edebileceği yaklaşık 9 milyon Gerilla bulaşmış Android cihazına sahip olduğunu iddia etti. Ancak Trend Micro, gerçek sayının daha da yüksek olabileceğine inanıyor.
Virüslü Cihazlarda İş Kurma
Lemon Group, son yıllarda önceden virüs bulaşmış Android cihazlar etrafında karlı iş modelleri oluşturan birkaç siber suç grubu arasında yer alıyor.
Trend Micro’dan araştırmacılar, ilk olarak “Gerilla” adlı kötü amaçlı yazılım bulaşmış bir Android cihazın ROM görüntüsü üzerinde adli tıp analizi yaparken operasyonu çözmeye başladı. Araştırmaları, grubun 180 ülkedeki Android kullanıcılarına ait cihazlara virüs bulaştırdığını gösterdi. Kurbanların %55’inden fazlası Asya’da, yaklaşık %17’si Kuzey Amerika’da ve yaklaşık %10’u Afrika’da. Trend Micro, çoğu ucuz olan 50’den fazla mobil cihaz markasını tespit edebildi.
Henüz sona eren Black Hat Asia 2023’teki bir sunumda ve blog yazısı bu hafta, Trend Micro araştırmacıları Fyodor Yarochkin, Zhengyu Dong ve Paul Pajares, Lemon Group gibi grupların Android kullanıcıları için oluşturduğu tehdide ilişkin görüşlerini paylaştı. Bunu, yalnızca Android telefon kullanıcılarını değil, Android Smart TV’leri, TV kutuları, Android tabanlı eğlence sistemleri ve hatta Android tabanlı çocuk saatleri sahiplerini de etkilemeye başlayan, sürekli büyüyen bir sorun olarak tanımladılar.
Araştırmacılar, “Zaman çizelgesi tahminlerimize göre, tehdit aktörü bu kötü amaçlı yazılımı son beş yıl içinde yaymıştır” dedi. “Bu enfeksiyonla herhangi bir önemli kritik altyapıda uzlaşma, uzun vadede meşru kullanıcılar pahasına Lemon Group için önemli bir kâr sağlayabilir.”
Eski Ama Gelişmekte Olan Kötü Amaçlı Yazılım Bulaşma Sorunu
Android telefonların üzerlerine önceden yüklenmiş kötü amaçlı yazılımlarla gönderilmesi sorunu kesinlikle yeni değil. Aralarında Trend Micro, Kaspersky ve Google’ın da bulunduğu çok sayıda güvenlik satıcısı, kötü niyetli kişilerin Android cihazların üretici yazılımı katmanında potansiyel olarak zararlı uygulamalar tanıttığını yıllar boyunca bildirdi.
Çoğu durumda, standart bir Android sistem görüntüsüne ek özellikler eklemek isteyen bir Android OEM, görevi bir üçüncü tarafa devrettiğinde kurcalama meydana geldi. Bazı durumlarda, kötü niyetli kişiler ayrıca, havadan aygıt yazılımı (FOTA) güncellemeleri aracılığıyla potansiyel olarak zararlı uygulamalara ve kötü amaçlı yazılımlara gizlice girmeyi başardılar. Birkaç yıl önce, Android cihazlarda önceden yüklenmiş olarak bulunan kötü amaçlı yazılımların çoğu bilgi hırsızları ve reklam sunucularıydı.
Tipik olarak, bu tür bir kurcalama, çoğunlukla bilinmeyen ve daha küçük markaların ucuz cihazlarını içerir. Ancak bazen daha büyük satıcılara ve OEM’lere ait cihazlar da etkilenmiştir. Örneğin, 2017’de, Check Point şu kadarını bulduğunu bildirdi: 37 Android cihaz modeli Bu tür bir kötü amaçlı yazılım önceden yüklenmiş çok uluslu büyük bir telekomünikasyon şirketinden. Hırsızlığın arkasındaki tehdit aktörü, kötü amaçlı yazılım örneklerinden altı tanesini cihazın ROM’una ekledi, böylece kullanıcı cihazları yeniden flaşlamadan bunları kaldıramadı.
Önceden Yüklenmiş Kötü Amaçlı Yazılımlar Daha Tehlikeli Hale Geliyor
Son yıllarda, Android cihazlarda önceden yüklenmiş olarak bulunan bazı kötü amaçlı yazılımlar çok daha tehlikeli hale geldi. Bunun en iyi örneği Triada’dır. Çekirdek Zygote sürecini değiştiren Truva atı Android OSa’da. Ayrıca aktif olarak sistem dosyalarının yerini aldı ve çoğunlukla sistemin RAM’inde çalıştı, bu da tespit edilmesini çok zorlaştırdı. Kötü amaçlı yazılımın arkasındaki tehdit aktörleri, diğer şeylerin yanı sıra, işlem doğrulama kodları için gelen ve giden SMS mesajlarını engellemek, istenmeyen reklamları görüntülemek ve arama sonuçlarını manipüle etmek için kullandı.
Trend Micro’nun Gerilla kötü amaçlı yazılım kampanyasındaki araştırması, örneğin, komuta ve kontrol altyapısı ve iletişimde, Lemon Group’un operasyonları ile Triada’nın operasyonları arasında örtüşmeler olduğunu gösterdi. Örneğin, Trend Micro, Lemon Group implantının Zygote sürecini kurcaladığını ve esasen güvenliği ihlal edilmiş bir cihazdaki her uygulamanın bir parçası haline geldiğini buldu. Ayrıca kötü amaçlı yazılım, her biri çok özel bir amaca sahip birden çok başka eklenti yükleyen bir ana eklentiden oluşur. Bunlar, SMS mesajlarını kesmek ve WhatsApp, Facebook gibi platformlardan OTP’leri okumak ve JingDong adlı bir alışveriş uygulaması için tasarlanmış olanı içerir.
Farklı Kötü Amaçlı Etkinlikler için Eklentiler
Bir eklenti, Lemon Group’un müşterileri için işlettiği SMS telefonla doğrulanmış hesap (SMS PVA) hizmetinin çok önemli bir bileşenidir. SMS PVA hizmetleri temel olarak kullanıcılara, örneğin bir çevrimiçi hizmete kaydolurken telefon numarası doğrulaması için kullanabilecekleri geçici veya tek kullanımlık telefon numaraları ve daha sonra kimliklerini doğrulamak için iki faktörlü kimlik doğrulama ve tek seferlik şifreler almak için sağlar. Bazıları bu tür hizmetleri gizlilik nedeniyle kullanırken, Lemon Group gibi tehdit aktörleri bunları müşterilerin spam hesaplarını toplu olarak kaydetmesine, sahte sosyal medya hesapları oluşturmasına ve diğer kötü niyetli faaliyetler.
Başka bir Gerilla eklentisi, Lemon Group’un virüslü bir telefonun kaynaklarını kısa sürelerle müşterilere kiralamasına olanak tanır; bir çerez eklentisi, reklam dolandırıcılığıyla ilgili kullanımlar için kullanıcının cihazlarındaki Facebook ile ilgili uygulamalara bağlanır; ve bir WhatsApp eklentisi, istenmeyen mesajlar göndermek için bir kullanıcının WhatsApp oturumlarını ele geçirir. Başka bir eklenti, belirli etkinlikler için kurulum izni gerektiren uygulamaların sessiz kurulumunu sağlar.
Trend Micro’nun analizine göre “Bu işletmelerden bazılarının, virüslü telefonlara gönderilen sessiz eklentileri kullanarak yoğun reklam yükleme, akıllı TV reklamları ve gizli reklamlara sahip Google play uygulamaları gibi farklı para kazanma teknikleri için kullanıldığını belirledik.” “Tehdit aktörünün operasyonlarının, başka bir enfeksiyon sonrası para kazanma planı olarak diğer tehdit aktörlerine satmadan önce büyük veri toplama için kullanılmak üzere virüslü cihazdan bilgi çalma durumu olabileceğine inanıyoruz.”
