يساهم الملايين من مستخدمي هواتف Android في جميع أنحاء العالم يوميًا في الرفاهية المالية لمجموعة تسمى Lemon Group ، فقط من خلال امتلاك الأجهزة.
دون علم هؤلاء المستخدمين ، قام مشغلو Lemon Group بإصابة أجهزتهم مسبقًا قبل شرائها. الآن ، يستخدمون هواتفهم بهدوء كأدوات لسرقة وبيع رسائل SMS وكلمات المرور لمرة واحدة (OTPs) ، وعرض الإعلانات غير المرغوب فيها ، وإعداد الرسائل عبر الإنترنت وحسابات الوسائط الاجتماعية ، وأغراض أخرى.
زعمت Lemon Group نفسها أن لديها قاعدة تضم ما يقرب من 9 ملايين جهاز Android مصاب بالعدوى من Guerrilla والتي يمكن لعملائها إساءة استخدامها بطرق مختلفة. لكن تريند مايكرو تعتقد أن الرقم الفعلي قد يكون أعلى من ذلك.
بناء مشروع على الأجهزة المصابة
تعد Lemon Group من بين العديد من مجموعات مجرمي الإنترنت التي قامت ببناء نماذج أعمال مربحة حول أجهزة Android المصابة مسبقًا في السنوات الأخيرة.
بدأ الباحثون من Trend Micro في الكشف عن العملية لأول مرة عند إجراء تحليل جنائي على صورة ROM لجهاز Android مصاب ببرامج ضارة يطلق عليها اسم "Guerrilla". وأظهر تحقيقهم أن المجموعة أصابت أجهزة تابعة لمستخدمي أندرويد في 180 دولة. أكثر من 55٪ من الضحايا هم في آسيا ، وحوالي 17٪ في أمريكا الشمالية وحوالي 10٪ في إفريقيا. تمكنت Trend Micro من تحديد أكثر من 50 علامة تجارية - معظمها غير مكلفة - للأجهزة المحمولة.
في عرض تقديمي في Black Hat Asia 2023 الذي اختتم لتوه ، وفي أ مشاركة مدونة هذا الأسبوعشارك باحثو Trend Micro ، Fyodor Yarochkin و Zhengyu Dong و Paul Pajares ، أفكارهم حول التهديد الذي تشكله ملابس مثل Lemon Group لمستخدمي Android. وصفوها بأنها مشكلة متنامية باستمرار بدأت تمس ليس فقط مستخدمي هواتف Android ولكن أصحابها تلفزيونات Android الذكيةوعلب التلفزيون وأنظمة الترفيه التي تعمل بنظام Android وحتى ساعات الأطفال التي تعمل بنظام Android.
قال الباحثون: "بعد تقديرات الجدول الزمني لدينا ، قام الفاعل بنشر هذه البرامج الضارة على مدى السنوات الخمس الماضية". "من المحتمل أن يؤدي أي حل وسط بشأن أي بنية تحتية مهمة مع هذه العدوى إلى تحقيق ربح كبير لمجموعة Lemon Group على المدى الطويل على حساب المستخدمين الشرعيين."
مشكلة قديمة ولكنها متطورة للإصابة بالبرامج الضارة
من المؤكد أن مشكلة هواتف Android التي يتم شحنها مع برامج ضارة مثبتة عليها مسبقًا ليست جديدة. أبلغ العديد من بائعي الأمن - بما في ذلك Trend Micro و Kaspersky و Google - على مر السنين عن جهات فاعلة سيئة تقدم تطبيقات قد تكون ضارة في طبقة البرامج الثابتة على أجهزة Android.
في كثير من الحالات ، حدث التلاعب عندما قام أحد مصنعي Android OEM ، الذي يتطلع إلى إضافة ميزات إضافية إلى صورة نظام Android القياسية ، بالاستعانة بمصادر خارجية للمهمة. في بعض الحالات ، تمكن الفاعلون السيئون أيضًا من التسلل إلى التطبيقات والبرامج الضارة التي يحتمل أن تكون ضارة عبر تحديثات البرامج الثابتة عبر الهواء (FOTA). قبل بضع سنوات ، كانت معظم البرامج الضارة التي تم العثور عليها مثبتة مسبقًا على أجهزة Android عبارة عن سرقة معلومات وخوادم إعلانات.
عادةً ما ينطوي هذا العبث على أجهزة رخيصة الثمن من علامات تجارية غير معروفة وأصغر في الغالب. ولكن في بعض الأحيان ، تأثرت أيضًا الأجهزة التي تنتمي إلى كبار البائعين والشركات المصنعة للمعدات الأصلية. مرة أخرى في عام 2017 على سبيل المثال ، أبلغت Check Point عن العثور على ما يصل إلى 37 طرازًا لأجهزة Android من شركة اتصالات كبيرة متعددة الجنسيات ، ومثبتة مسبقًا بمثل هذه البرامج الضارة. أضاف ممثل التهديد الذي يقف وراء الكبر ستة من عينات البرامج الضارة إلى ذاكرة القراءة فقط للجهاز حتى لا يتمكن المستخدم من إزالتها دون إعادة وميض الأجهزة.
تزداد خطورة البرامج الضارة المثبتة مسبقًا
في السنوات الأخيرة ، أصبحت بعض البرامج الضارة المثبتة مسبقًا على أجهزة Android أكثر خطورة. أفضل مثال على ذلك هو Triada ، a حصان طروادة الذي عدل عملية Zygote الأساسية في Android OSa. كما أنها استبدلت ملفات النظام بشكل نشط وتعمل في الغالب في ذاكرة الوصول العشوائي للنظام ، مما يجعل من الصعب جدًا اكتشافها. استخدمه القائمون على التهديد وراء البرامج الضارة ، من بين أشياء أخرى ، لاعتراض رسائل SMS الواردة والصادرة للحصول على رموز التحقق من المعاملات ، وعرض الإعلانات غير المرغوب فيها والتلاعب بنتائج البحث.
أظهر بحث Trend Micro في حملة البرمجيات الخبيثة Guerrilla وجود تداخل - في البنية التحتية للقيادة والتحكم والاتصالات على سبيل المثال - بين عمليات Lemon Group وعمليات Triada. على سبيل المثال ، وجدت Trend Micro أن غرسة Lemon Group تتلاعب بعملية Zygote وتصبح أساسًا جزءًا من كل تطبيق على جهاز مخترق. أيضًا ، تتكون البرامج الضارة من مكون إضافي رئيسي يقوم بتحميل العديد من المكونات الإضافية الأخرى ، لكل منها غرض محدد للغاية. يتضمن ذلك واحدًا مصممًا لاعتراض رسائل SMS وقراءة OTPs من منصات مثل WhatsApp و Facebook وتطبيق تسوق يسمى JingDong.
الإضافات لأنشطة ضارة مختلفة
يعد أحد المكونات الإضافية مكونًا مهمًا في خدمة التحقق من حساب الهاتف SMS (SMS PVA) التي تديرها Lemon Group لعملائها. توفر خدمات SMS PVA للمستخدمين بشكل أساسي أرقام هواتف مؤقتة أو يمكن التخلص منها يمكنهم استخدامها للتحقق من رقم الهاتف عند التسجيل في خدمة عبر الإنترنت ، على سبيل المثال ، وتلقي مصادقة ثنائية وكلمات مرور لمرة واحدة للمصادقة عليها لاحقًا. بينما يستخدم البعض مثل هذه الخدمات لأسباب تتعلق بالخصوصية ، يستخدمها ممثلو التهديد مثل Lemon Group لتمكين العملاء من تسجيل حسابات البريد العشوائي بشكل مجمّع وإنشاء حسابات وسائط اجتماعية مزيفة و أنشطة ضارة أخرى.
يسمح برنامج Guerrilla الإضافي الآخر لـ Lemon Group بتأجير موارد الهاتف المصاب بشكل أساسي من فترات قصيرة للعملاء ؛ يرتبط المكون الإضافي لملف تعريف الارتباط بالتطبيقات المتعلقة بـ Facebook على أجهزة المستخدم للاستخدامات المتعلقة بالاحتيال الإعلاني ؛ ومكوِّن إضافي لتطبيق WhatsApp يخطف جلسات WhatsApp الخاصة بالمستخدم لإرسال رسائل غير مرغوب فيها. يتيح مكون إضافي آخر التثبيت الصامت للتطبيقات التي تتطلب إذن التثبيت لأنشطة محددة.
وفقًا لتحليل Trend Micro ، "حددنا بعضًا من هذه الشركات المستخدمة لتقنيات مختلفة لتحقيق الدخل ، مثل التحميل الثقيل للإعلانات باستخدام المكونات الإضافية الصامتة التي يتم دفعها إلى الهواتف المصابة ، وإعلانات التلفزيون الذكية ، وتطبيقات Google play ذات الإعلانات المخفية". "نعتقد أن عمليات الفاعل بالتهديد يمكن أن تكون أيضًا حالة سرقة معلومات من الجهاز المصاب لاستخدامها في جمع البيانات الضخمة قبل بيعها إلى جهات تهديد أخرى كمخطط آخر لتحقيق الدخل بعد الإصابة."
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- أفلاطونايستريم. ذكاء بيانات Web3. تضخيم المعرفة. الوصول هنا.
- سك المستقبل مع أدرين أشلي. الوصول هنا.
- شراء وبيع الأسهم في شركات ما قبل الاكتتاب مع PREIPO®. الوصول هنا.
- المصدر https://www.darkreading.com/threat-intelligence/threat-actor-millions-pre-infected-android-phones-cybercrime-enterprise
- :لديها
- :يكون
- :ليس
- $ UP
- 2017
- 2023
- 50
- 7
- 9
- a
- ماهرون
- سوء المعاملة
- وفقا
- حسابي
- الحسابات
- بنشاط
- أنشطة
- الجهات الفاعلة
- يقدم
- Ad
- تضيف
- وأضاف
- إضافي
- أفريقيا
- منذ
- يسمح
- أيضا
- أمريكا
- من بين
- an
- تحليل
- و
- الروبوت
- آخر
- أي وقت
- التطبيق
- التطبيقات
- التطبيقات
- هي
- حول
- AS
- آسيا
- At
- التحقّق من المُستخدم
- الى الخلف
- سيئة
- قاعدة
- في الأساس
- BE
- أصبح
- أن تصبح
- كان
- قبل
- بدأ
- بدأت
- وراء
- يجري
- اعتقد
- يعتقد
- أفضل
- ما بين
- كبير
- البيانات الكبيرة
- أكبر
- اسود
- قبعة سوداء
- اشترى
- مربعات
- العلامات التجارية
- بنيت
- الأعمال
- الأعمال
- لكن
- by
- تسمى
- الحملات
- CAN
- حقيبة
- بالتأكيد
- التحقق
- أطفال
- ادعى
- مجموعة شتاء XNUMX
- مجال الاتصالات
- حول الشركة
- عنصر
- حل وسط
- تسوية
- وخلص
- بشكل متواصل
- المساهمة
- جوهر
- دولة
- خلق
- حرج
- بنية تحتية حرجة
- حاسم
- العملاء
- جرائم الإنترنت
- الجريمة الإلكترونية
- يوميا
- خطير
- البيانات
- وصف
- تصميم
- جهاز
- الأجهزة
- مختلف
- العرض
- فعل
- يطلق عليها اسم
- كل
- تمكين
- تمكن
- مشروع
- ترفيه
- أساسيا
- تقديرات
- حتى
- كل
- المتطورة
- مثال
- فيسبوك
- زائف
- المميزات
- قليل
- ملفات
- مالي
- العثور على
- الاسم الأول
- متابعيك
- في حالة
- الطب الشرعي
- وجدت
- تبدأ من
- شراء مراجعات جوجل
- Google Play
- تجمع
- مجموعات
- متزايد
- حدث
- الثابت
- الضارة
- قبعة
- يملك
- ثقيل
- مخفي
- أعلى
- السنانير
- HTML
- HTTPS
- محدد
- تحديد
- صورة
- أثر
- in
- تتضمن
- بما فيه
- الوارد
- معلومات
- البنية التحتية
- رؤى
- التركيب
- مثل
- إدخال
- تحقيق
- المشاركة
- قضية
- IT
- انها
- نفسها
- JPG
- م
- Kaspersky
- كبير
- اسم العائلة
- الى وقت لاحق
- طبقة
- شرعي
- مثل
- على الأرجح
- جار التحميل
- الأحمال
- طويل
- أبحث
- الرئيسية
- القيام ب
- البرمجيات الخبيثة
- تمكن
- كثير
- مايو..
- الوسائط
- مجرد
- رسائل
- الرسائل
- مليون
- ملايين
- الجوال
- أجهزة محمولة
- عارضات ازياء
- تم التعديل
- تسييل
- الأكثر من ذلك
- أكثر
- خاصة
- كثيرا
- متعدد الجنسيات
- متعدد
- تقريبا
- جديد
- شمال
- امريكا الشمالية
- الآن
- عدد
- أرقام
- كثير
- مناسبة
- of
- قديم
- on
- ONE
- online
- تعمل
- تعمل
- عملية
- عمليات
- مشغلي
- or
- أخرى
- لنا
- خارج
- على مدى
- أصحاب
- جزء
- كلمات السر
- بول
- فترات
- إذن
- للهواتف
- الهواتف
- منصات التداول
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- بلايستشن
- المساعد
- الإضافات
- البوينت
- منشور
- يحتمل
- <font style="vertical-align: inherit;"> كمادة تطعيم في تجديد عيوب محيط بالذورة (الحنك) الكبيرة:</font>
- خصوصية
- المشكلة
- عملية المعالجة
- الربح
- مربح
- ويوفر
- غرض
- أغراض
- دفع
- بهدوء
- رامات
- عرض
- الأسباب
- يستلم
- الأخيرة
- تسجيل جديد
- تسجيل
- ذات صلة
- إزالة
- الاجار
- وذكرت
- تطلب
- بحث
- الباحثين
- الموارد
- النتائج
- يجري
- s
- قال
- مخطط
- بحث
- أمن
- بيع
- إرسال
- خوادم
- الخدمة
- خدماتنا
- خدمة
- دورات
- ضبط
- عدة
- شاركت
- تم شحنه
- التسوق والترفيه
- قصير
- أظهرت
- هام
- SIX
- الأصغر
- سمارت
- التلفزيون الذكية
- SMS
- تسلل
- So
- العدالة
- وسائل التواصل الاجتماعي
- بعض
- البريد المزعج
- محدد
- انتشار
- معيار
- هذه
- نظام
- أنظمة
- مهمة
- تقنيات
- اتصالات
- مؤقت
- من
- أن
- •
- العالم
- من مشاركة
- منهم
- تشبه
- هم
- الأشياء
- طرف ثالث
- هؤلاء
- التهديد
- الجهات التهديد
- الجدول الزمني
- إلى
- أدوات
- لمس
- صفقة
- اكثر شيوعا
- tv
- غير معروف
- غير مرغوب فيه
- آخر التحديثات
- تستخدم
- مستعمل
- مستخدم
- المستخدمين
- استخدام
- الباعة
- التحقق
- التحقق
- جدا
- بواسطة
- ضحايا
- وكان
- الساعات
- طرق
- we
- حسن
- رفاهية
- كان
- الواتساب
- متى
- في حين
- مع
- بدون
- العالم
- سوف
- سنوات
- التوزيعات للسهم الواحد
- زفيرنت