A Guerilla Malware Slumbers több millió Android-eszközön

A Lemon Group, a kiberbűnözők szervezete világszerte mintegy 8,9 millió Android-alapú eszközre, köztük okostelefonokra, órákra, tévékre és tévédobozokra ültette be a Guerrilla kártevőt. A Trend Micro, egy kiberbiztonsági vállalat ezt az információt egy közelmúltbeli jelentésben tárta fel.

A Guerrilla malware különféle képességekkel rendelkezik, mint például további rosszindulatú szoftverek betöltése, SMS-ben küldött egyszeri jelszavak (OTP) elfogása, fordított proxy létrehozása a fertőzött eszközön keresztül, valamint behatolás a WhatsApp munkamenetekbe.

A Trend Micro kutatói szerint a fertőzött eszközöket mobil proxy-kká alakítják, amelyek eszközként szolgálnak SMS-üzenetek ellopásához és eladásához, közösségi médiához és online üzenetküldő fiókokhoz, valamint bevételt generálnak hirdetésekből és kattintásos csalásokból. Ezeket az eredményeket a legutóbbi BlackHat Asia konferencián készült jelentésben mutatták be.

A kártevőt világszerte terjesztették, több mint 180 országban találtak fertőzött eszközöket, köztük az Egyesült Államokban, Mexikóban, Indonéziában, Thaiföldön, Oroszországban, Dél-Afrikában, Indiában, Angolában, a Fülöp-szigeteken és Argentínában.

Ellátási lánc támadás a gerilla beültetésére

A rosszindulatú programok Android-eszközökön való jelenléte a gyártók által a szabványos rendszerképek javítására felkért harmadik felek bevonásának tudható be. A Trend Micro a Guerilla malware elemzése során felfedezte, hogy a mobiltelefonok firmware-komponenseinek gyártásáért felelős vállalat az Android Auto-hoz, a járművek műszerfalain használt alkalmazáshoz is készít hasonló összetevőket.

Ez aggodalomra ad okot a fertőzött autós szórakoztató rendszerek lehetőségével kapcsolatban. A kutatók ezt a szempontot hangsúlyozták a kutatás során. A Guerillával kapcsolatos nyomozás azután kezdődött, hogy feltört telefonokról szóló hírek jelentek meg. A kutatók megszereztek egy fertőzött telefont, és kinyerték a ROM-képet igazságügyi orvosszakértői vizsgálat céljából. A jelentésben a kutatók egy libandroid_runtime.so nevű manipulált rendszerkönyvtárat azonosítottak, amely egy kódrészletet fecskendezett be a println_native nevű függvénybe.

A beinjektált kód célja egy, az Android operációs rendszer által a bájtkód végrehajtására használt DEX-fájl visszafejtése az eszköz adatrészéből, és betöltése a memóriába. Ezt a fájlt az Android Runtime hajtja végre, hogy aktiválja a támadók által használt elsődleges bővítményt, az úgynevezett Sloth-t, és biztosítsa annak konfigurációját, beleértve a kommunikációhoz egy Lemon Group tartományt.

A Lemon Group elsősorban a big data felhasználásával foglalkozik a gyártók szállítási adatainak, a különböző felhasználóktól származó különféle hirdetési tartalmak, valamint a részletes hardver- és szoftverinformációk elemzésére. Ez lehetővé teszi számukra az ügyfelek megfigyelését, és potenciálisan megfertőzhetik őket más alkalmazásokkal.

A gerillának jelentős képességei vannak

A Guerilla malware elsődleges beépülő modulja további dedikált bővítményeket tölt be, amelyek meghatározott funkciókat látnak el. Az SMS-bővítmény elfogja az SMS-ben kapott egyszeri jelszavakat a WhatsApp, a JingDong és a Facebook számára. A Proxy beépülő modul fordított proxyt hoz létre a fertőzött eszközről, lehetővé téve a támadók számára, hogy kihasználják az áldozat hálózati erőforrásait. A Cookie-bővítmény lekéri a Facebook cookie-kat az alkalmazás adatkönyvtárából, és elküldi a C2-szervernek, miközben a WhatsApp-munkameneteket is eltéríti a nem kívánt üzenetek terjesztéséhez.

Ezenkívül a rosszindulatú program magában foglalja a Splash beépülő modult, amely tolakodó hirdetéseket jelenít meg, miközben az áldozatok legitim alkalmazásokat használnak, és a Silent Plugint, amely a C2 szervertől kapott APK-k (Android Package Kits) csendes telepítéséért vagy eltávolításáért felelős. Ezeknek az alkalmazásoknak a telepítése és elindítása diszkréten, a háttérben történik.