Guerilla Malware Slumbers σε εκατομμύρια συσκευές Android

Η Lemon Group, μια οργάνωση για το έγκλημα στον κυβερνοχώρο, έχει εμφυτεύσει επιτυχώς το κακόβουλο λογισμικό Guerrilla σε περίπου 8,9 εκατομμύρια συσκευές που βασίζονται σε Android παγκοσμίως, συμπεριλαμβανομένων των smartphone, των ρολογιών, των τηλεοράσεων και των κουτιών τηλεόρασης. Η Trend Micro, μια εταιρεία κυβερνοασφάλειας, αποκάλυψε αυτές τις πληροφορίες σε πρόσφατη έκθεση.

Το κακόβουλο λογισμικό Guerrilla διαθέτει διάφορες δυνατότητες, όπως φόρτωση πρόσθετου κακόβουλου λογισμικού, υποκλοπή κωδικών πρόσβασης μίας χρήσης (OTP) που αποστέλλονται μέσω SMS, δημιουργία αντίστροφου διακομιστή μεσολάβησης μέσω της μολυσμένης συσκευής και διείσδυση σε συνεδρίες WhatsApp.

Σύμφωνα με ερευνητές της Trend Micro, οι μολυσμένες συσκευές μετατρέπονται σε κινητά proxies, που χρησιμεύουν ως εργαλεία για την κλοπή και την πώληση μηνυμάτων SMS, λογαριασμών μέσων κοινωνικής δικτύωσης και διαδικτυακών μηνυμάτων, καθώς και για τη δημιουργία εσόδων μέσω διαφημίσεων και απάτης κλικ. Αυτά τα ευρήματα παρουσιάστηκαν σε μια έκθεση κατά τη διάρκεια της πρόσφατης διάσκεψης BlackHat Asia.

Το κακόβουλο λογισμικό έχει διανεμηθεί παγκοσμίως, με μολυσμένες συσκευές που βρέθηκαν σε περισσότερες από 180 χώρες, συμπεριλαμβανομένων των Ηνωμένων Πολιτειών, του Μεξικού, της Ινδονησίας, της Ταϊλάνδης, της Ρωσίας, της Νότιας Αφρικής, της Ινδίας, της Αγκόλας, των Φιλιππίνων και της Αργεντινής.

Επίθεση εφοδιαστικής αλυσίδας που χρησιμοποιείται για την εμφύτευση Guerilla

Η παρουσία κακόβουλου λογισμικού σε συσκευές Android μπορεί να αποδοθεί στη συμμετοχή τρίτων που προσλαμβάνονται από κατασκευαστές για τη βελτίωση των τυπικών εικόνων του συστήματος. Η Trend Micro, στην ανάλυσή της για το κακόβουλο λογισμικό Guerilla, ανακάλυψε ότι μια εταιρεία που είναι υπεύθυνη για την παραγωγή στοιχείων υλικολογισμικού για κινητά τηλέφωνα δημιουργεί επίσης παρόμοια στοιχεία για το Android Auto, μια εφαρμογή που χρησιμοποιείται σε συστήματα ταμπλό οχημάτων.

Αυτό εγείρει ανησυχίες σχετικά με την πιθανότητα μολυσμένων συστημάτων ψυχαγωγίας στο αυτοκίνητο. Οι ερευνητές τόνισαν αυτό το σημείο κατά την έρευνά τους. Η έρευνα για το Guerilla ξεκίνησε μετά από αναφορές για παραβιασμένα τηλέφωνα. Οι ερευνητές πήραν ένα μολυσμένο τηλέφωνο και έβγαλαν την εικόνα ROM για ιατροδικαστική εξέταση. Μέσα στην αναφορά, οι ερευνητές εντόπισαν μια χειραγωγημένη βιβλιοθήκη συστήματος που ονομάζεται libandroid_runtime.so, η οποία εισήγαγε ένα απόσπασμα κώδικα σε μια συνάρτηση που ονομάζεται println_native.

Ο σκοπός του κώδικα που εισάγεται είναι να αποκρυπτογραφήσει ένα αρχείο DEX, που χρησιμοποιείται από το λειτουργικό σύστημα Android για την εκτέλεση bytecode, από την ενότητα δεδομένων της συσκευής και να το φορτώσει στη μνήμη. Αυτό το αρχείο εκτελείται από το Android Runtime για να ενεργοποιήσει το κύριο πρόσθετο που χρησιμοποιούν οι εισβολείς, γνωστό ως Sloth, και να παρέχει τη διαμόρφωσή του, συμπεριλαμβανομένου ενός τομέα Lemon Group για επικοινωνία.

Ο Όμιλος Lemon εστιάζει κυρίως στη χρήση μεγάλων δεδομένων για την ανάλυση δεδομένων αποστολής κατασκευαστών, ποικίλου διαφημιστικού περιεχομένου από διαφορετικούς χρήστες και λεπτομερών πληροφοριών υλικού και λογισμικού. Αυτό τους επιτρέπει να παρακολουθούν τους πελάτες και ενδεχομένως να τους μολύνουν με άλλες εφαρμογές.

Το Guerilla έχει σημαντικές δυνατότητες

Η κύρια προσθήκη του κακόβουλου λογισμικού Guerilla φορτώνει επιπλέον αποκλειστικές προσθήκες που εξυπηρετούν συγκεκριμένες λειτουργίες. Το πρόσθετο SMS παρεμποδίζει τους κωδικούς πρόσβασης μιας χρήσης που λαμβάνονται μέσω SMS για WhatsApp, JingDong και Facebook. Το πρόσθετο διακομιστή μεσολάβησης δημιουργεί έναν αντίστροφο διακομιστή μεσολάβησης από τη μολυσμένη συσκευή, επιτρέποντας στους εισβολείς να εκμεταλλευτούν τους πόρους δικτύου του θύματος. Το Πρόσθετο Cookie ανακτά τα cookies του Facebook από τον κατάλογο δεδομένων της εφαρμογής και τα στέλνει στον διακομιστή C2, ενώ παράλληλα παραλαμβάνει τις συνεδρίες WhatsApp για τη διανομή ανεπιθύμητων μηνυμάτων.

Επιπλέον, το κακόβουλο λογισμικό περιλαμβάνει το Splash Plugin, το οποίο εμφανίζει παρεμβατικές διαφημίσεις ενώ τα θύματα χρησιμοποιούν νόμιμες εφαρμογές, και το Silent Plugin, υπεύθυνο για την αθόρυβη εγκατάσταση ή απεγκατάσταση APK (Android Package Kit) που λαμβάνονται από τον διακομιστή C2. Η εγκατάσταση και η εκκίνηση αυτών των εφαρμογών γίνονται διακριτικά στο παρασκήνιο.