Guerilla Malware slumrer på millioner af Android-enheder

Lemon Group, en cyberkriminalitetsorganisation, har med succes implanteret Guerrilla-malwaren på cirka 8,9 millioner Android-baserede enheder verden over, herunder smartphones, ure, tv'er og tv-bokse. Trend Micro, et cybersikkerhedsfirma, afslørede disse oplysninger i en nylig rapport.

Guerrilla-malwaren besidder forskellige muligheder, såsom at indlæse yderligere skadelig software, opsnappe engangsadgangskoder (OTP'er), der sendes via SMS, etablere en omvendt proxy gennem den inficerede enhed og infiltrere WhatsApp-sessioner.

Ifølge forskere fra Trend Micro omdannes de inficerede enheder til mobile proxyer, der tjener som værktøjer til at stjæle og sælge SMS-beskeder, sociale medier og online-beskedkonti, samt generere indtægter gennem annoncer og kliksvindel. Disse resultater blev præsenteret i en rapport under den nylige BlackHat Asia-konference.

Malwaren er blevet distribueret globalt med inficerede enheder fundet i mere end 180 lande, herunder USA, Mexico, Indonesien, Thailand, Rusland, Sydafrika, Indien, Angola, Filippinerne og Argentina.

Supply Chain Attack Bruges til at implantere guerilla

Tilstedeværelsen af malware på Android-enheder kan tilskrives involvering af tredjeparter hyret af producenter til at forbedre standard systembilleder. Trend Micro opdagede i sin analyse af Guerilla-malwaren, at en virksomhed, der er ansvarlig for at producere firmwarekomponenter til mobiltelefoner, også skaber lignende komponenter til Android Auto, en app, der bruges på køretøjets instrumentbrætsystemer.

Dette giver anledning til bekymring med hensyn til muligheden for inficerede underholdningssystemer i bilen. Forskere understregede dette punkt under deres forskning. Efterforskningen af Guerilla begyndte efter rapporter om kompromitterede telefoner dukkede op. Forskere fik en inficeret telefon og udtrak ROM-billedet til retsmedicinsk undersøgelse. I rapporten identificerede forskere et manipuleret systembibliotek ved navn libandroid_runtime.so, som injicerede et kodestykke i en funktion kaldet println_native.

Den injicerede kodes formål er at dekryptere en DEX-fil, der bruges af Android-operativsystemet til at udføre bytekode, fra enhedens datasektion og indlæse den i hukommelsen. Denne fil udføres af Android Runtime for at aktivere det primære plugin, der anvendes af angriberne, kendt som Sloth, og give dets konfiguration, herunder et Lemon Group-domæne til kommunikation.

Lemon Group fokuserer primært på at bruge big data til at analysere producenters forsendelsesdata, forskelligt reklameindhold fra forskellige brugere og detaljerede hardware- og softwareoplysninger. Dette giver dem mulighed for at overvåge kunder og potentielt inficere dem med andre applikationer.

Guerilla har betydelige egenskaber

Guerilla-malwarens primære plugin indlæser yderligere dedikerede plugins, der tjener specifikke funktioner. SMS-plugin'et opsnapper engangsadgangskoder modtaget via SMS til WhatsApp, JingDong og Facebook. Proxy-plugin'et etablerer en omvendt proxy fra den inficerede enhed, hvilket gør det muligt for angriberne at udnytte ofrets netværksressourcer. Cookie-plugin'et henter Facebook-cookies fra appdatabiblioteket og sender dem til C2-serveren, mens det også kaprer WhatsApp-sessioner til distribution af uønskede beskeder.

Derudover inkluderer malwaren Splash Plugin, som viser påtrængende reklamer, mens ofrene bruger legitime applikationer, og Silent Plugin, der er ansvarlig for lydløst at installere eller afinstallere APK'er (Android Package Kits) modtaget fra C2-serveren. Installationen og lanceringen af disse apps foregår diskret i baggrunden.