Guerilla Malware sommeille sur des millions d'appareils Android
Lemon Group, une organisation de cybercriminalité, a implanté avec succès le logiciel malveillant Guerrilla sur environ 8,9 millions d'appareils Android dans le monde, notamment des smartphones, des montres, des téléviseurs et des téléviseurs. Trend Micro, une société de cybersécurité, a révélé cette information dans un rapport récent.
Le malware Guerrilla possède diverses capacités, telles que le chargement de logiciels malveillants supplémentaires, l'interception des mots de passe à usage unique (OTP) envoyés par SMS, l'établissement d'un proxy inverse via l'appareil infecté et l'infiltration des sessions WhatsApp.
Selon les chercheurs de Trend Micro, les appareils infectés sont transformés en proxies mobiles, servant d'outils pour voler et vendre des messages SMS, des réseaux sociaux et des comptes de messagerie en ligne, ainsi que pour générer des revenus grâce aux publicités et à la fraude au clic. Ces résultats ont été présentés dans un rapport lors de la récente conférence BlackHat Asia.
Le logiciel malveillant a été distribué dans le monde entier, avec des appareils infectés trouvés dans plus de 180 pays, dont les États-Unis, le Mexique, l'Indonésie, la Thaïlande, la Russie, l'Afrique du Sud, l'Inde, l'Angola, les Philippines et l'Argentine.
Attaque de la chaîne d'approvisionnement utilisée pour implanter la guérilla
La présence de logiciels malveillants sur les appareils Android peut être attribuée à l'implication de tiers engagés par les fabricants pour améliorer les images système standard. Trend Micro, dans son analyse du malware Guerilla, a découvert qu'une société responsable de la production de composants de micrologiciels pour téléphones mobiles crée également des composants similaires pour Android Auto, une application utilisée sur les systèmes de tableau de bord des véhicules.
Cela soulève des inquiétudes quant à la possibilité d'infecter les systèmes de divertissement embarqués. Les chercheurs ont souligné ce point lors de ses recherches. L'enquête sur Guerilla a commencé après que des rapports faisant état de téléphones compromis aient fait surface. Les chercheurs ont obtenu un téléphone infecté et extrait l'image ROM pour un examen médico-légal. Dans le rapport, les chercheurs ont identifié une bibliothèque système manipulée nommée libandroid_runtime.so, qui a injecté un extrait de code dans une fonction appelée println_native.
Le but du code injecté est de déchiffrer un fichier DEX, utilisé par le système d'exploitation Android pour exécuter le bytecode, à partir de la section de données de l'appareil et de le charger en mémoire. Ce fichier est exécuté par Android Runtime pour activer le plugin principal utilisé par les attaquants, connu sous le nom de Sloth, et fournir sa configuration, y compris un domaine Lemon Group pour la communication.
Lemon Group se concentre principalement sur l'utilisation de mégadonnées pour analyser les données d'expédition des fabricants, divers contenus publicitaires de différents utilisateurs et des informations détaillées sur le matériel et les logiciels. Cela leur permet de surveiller les clients et de les infecter potentiellement avec d'autres applications.
La guérilla a des capacités importantes
Le plugin principal du malware Guerilla charge des plugins dédiés supplémentaires qui remplissent des fonctions spécifiques. Le plugin SMS intercepte les mots de passe à usage unique reçus par SMS pour WhatsApp, JingDong et Facebook. Le plug-in proxy établit un proxy inverse à partir de l'appareil infecté, permettant aux attaquants d'exploiter les ressources réseau de la victime. Le plugin Cookie récupère les cookies Facebook du répertoire de données de l'application et les envoie au serveur C2, tout en détournant les sessions WhatsApp pour la distribution de messages indésirables.
De plus, le malware comprend le plugin Splash, qui affiche des publicités intrusives pendant que les victimes utilisent des applications légitimes, et le plugin silencieux, responsable de l'installation ou de la désinstallation silencieuse des APK (Android Package Kits) reçus du serveur C2. L'installation et le lancement de ces applications se font discrètement en arrière-plan.
