Guerilla Malware duerme en millones de dispositivos Android
Lemon Group, una organización de delitos cibernéticos, ha implantado con éxito el malware Guerrilla en aproximadamente 8,9 millones de dispositivos basados en Android en todo el mundo, incluidos teléfonos inteligentes, relojes, televisores y cajas de TV. Trend Micro, una empresa de ciberseguridad, reveló esta información en un informe reciente.
El malware Guerrilla posee varias capacidades, como cargar software malicioso adicional, interceptar contraseñas de un solo uso (OTP) enviadas por SMS, establecer un proxy inverso a través del dispositivo infectado e infiltrarse en las sesiones de WhatsApp.
Según los investigadores de Trend Micro, los dispositivos infectados se transforman en proxies móviles, que sirven como herramientas para robar y vender mensajes SMS, redes sociales y cuentas de mensajería en línea, además de generar ingresos a través de anuncios y fraude de clics. Estos hallazgos se presentaron en un informe durante la reciente conferencia BlackHat Asia.
El malware se ha distribuido a nivel mundial y se han encontrado dispositivos infectados en más de 180 países, incluidos Estados Unidos, México, Indonesia, Tailandia, Rusia, Sudáfrica, India, Angola, Filipinas y Argentina.
Ataque a la cadena de suministro utilizado para implantar la guerrilla
La presencia de malware en los dispositivos Android se puede atribuir a la participación de terceros contratados por los fabricantes para mejorar las imágenes estándar del sistema. Trend Micro, en su análisis del malware Guerilla, descubrió que una empresa responsable de producir componentes de firmware para teléfonos móviles también crea componentes similares para Android Auto, una aplicación utilizada en los sistemas de tablero de vehículos.
Esto plantea preocupaciones con respecto a la posibilidad de sistemas de entretenimiento en el automóvil infectados. Los investigadores enfatizaron este punto durante su investigación. La investigación de Guerrilla comenzó después de que surgieron informes de teléfonos comprometidos. Los investigadores obtuvieron un teléfono infectado y extrajeron la imagen ROM para un examen forense. Dentro del informe, los investigadores identificaron una biblioteca de sistema manipulada llamada libandroid_runtime.so, que inyectó un fragmento de código en una función llamada println_native.
El propósito del código inyectado es descifrar un archivo DEX, utilizado por el sistema operativo Android para ejecutar bytecode, desde la sección de datos del dispositivo y cargarlo en la memoria. Android Runtime ejecuta este archivo para activar el complemento principal empleado por los atacantes, conocido como Sloth, y proporcionar su configuración, incluido un dominio de Lemon Group para la comunicación.
Lemon Group se enfoca principalmente en utilizar big data para analizar los datos de envío de los fabricantes, varios contenidos publicitarios de diferentes usuarios e información detallada de hardware y software. Esto les permite monitorear a los clientes y potencialmente infectarlos con otras aplicaciones.
La guerrilla tiene capacidades significativas
El complemento principal del malware Guerilla carga complementos dedicados adicionales que cumplen funciones específicas. El complemento de SMS intercepta las contraseñas de un solo uso recibidas a través de SMS para WhatsApp, JingDong y Facebook. El Proxy Plugin establece un proxy inverso desde el dispositivo infectado, lo que permite a los atacantes explotar los recursos de la red de la víctima. El complemento de cookies recupera las cookies de Facebook del directorio de datos de la aplicación y las envía al servidor C2, al mismo tiempo que secuestra las sesiones de WhatsApp para distribuir mensajes no deseados.
Además, el malware incluye el Splash Plugin, que muestra anuncios intrusivos mientras las víctimas utilizan aplicaciones legítimas, y el Silent Plugin, responsable de instalar o desinstalar de forma silenciosa los APK (Android Package Kits) recibidos del servidor C2. La instalación y el lanzamiento de estas aplicaciones ocurren discretamente en segundo plano.
