Guerilla Malware sonnecchia su milioni di dispositivi Android

Lemon Group, un'organizzazione criminale informatica, ha impiantato con successo il malware Guerrilla su circa 8,9 milioni di dispositivi basati su Android in tutto il mondo, inclusi smartphone, orologi, TV e TV box. Trend Micro, una società di sicurezza informatica, ha rivelato queste informazioni in un recente rapporto.

Il malware Guerrilla possiede varie funzionalità, come il caricamento di software dannoso aggiuntivo, l'intercettazione di password monouso (OTP) inviate tramite SMS, la creazione di un proxy inverso attraverso il dispositivo infetto e l'infiltrazione nelle sessioni di WhatsApp.

Secondo i ricercatori di Trend Micro, i dispositivi infetti vengono trasformati in proxy mobili, che fungono da strumenti per rubare e vendere messaggi SMS, social media e account di messaggistica online, oltre a generare entrate tramite pubblicità e clic fraudolenti. Questi risultati sono stati presentati in un rapporto durante la recente conferenza BlackHat Asia.

Il malware è stato distribuito a livello globale, con dispositivi infetti trovati in oltre 180 paesi, tra cui Stati Uniti, Messico, Indonesia, Tailandia, Russia, Sud Africa, India, Angola, Filippine e Argentina.

Attacco alla catena di approvvigionamento utilizzato per impiantare la guerriglia

La presenza di malware sui dispositivi Android può essere attribuita al coinvolgimento di terze parti assunte dai produttori per migliorare le immagini di sistema standard. Trend Micro, nella sua analisi del malware Guerilla, ha scoperto che un'azienda responsabile della produzione di componenti firmware per telefoni cellulari crea anche componenti simili per Android Auto, un'app utilizzata sui sistemi di cruscotto dei veicoli.

Ciò solleva preoccupazioni riguardo alla possibilità di sistemi di intrattenimento in auto infetti. I ricercatori hanno sottolineato questo punto durante la sua ricerca. L'indagine su Guerilla è iniziata dopo che sono emerse segnalazioni di telefoni compromessi. I ricercatori hanno ottenuto un telefono infetto ed hanno estratto l'immagine ROM per l'esame forense. All'interno del rapporto, i ricercatori hanno identificato una libreria di sistema manipolata chiamata libandroid_runtime.so, che ha inserito uno snippet di codice in una funzione chiamata println_native.

Lo scopo del codice iniettato è decifrare un file DEX, utilizzato dal sistema operativo Android per eseguire il bytecode, dalla sezione dati del dispositivo e caricarlo in memoria. Questo file viene eseguito da Android Runtime per attivare il plug-in principale utilizzato dagli aggressori, noto come Sloth, e fornire la sua configurazione, incluso un dominio Lemon Group per la comunicazione.

Lemon Group si concentra principalmente sull'utilizzo di big data per analizzare i dati di spedizione dei produttori, vari contenuti pubblicitari di diversi utenti e informazioni dettagliate su hardware e software. Ciò consente loro di monitorare i clienti e potenzialmente infettarli con altre applicazioni.

La guerriglia ha capacità significative

Il plug-in principale del malware Guerilla carica plug-in dedicati aggiuntivi che svolgono funzioni specifiche. Il plug-in SMS intercetta le password monouso ricevute tramite SMS per WhatsApp, JingDong e Facebook. Il plug-in proxy stabilisce un proxy inverso dal dispositivo infetto, consentendo agli aggressori di sfruttare le risorse di rete della vittima. Il Cookie Plugin recupera i cookie di Facebook dalla directory dei dati dell'app e li invia al server C2, dirottando anche le sessioni di WhatsApp per la distribuzione di messaggi indesiderati.

Inoltre, il malware include Splash Plugin, che visualizza pubblicità intrusive mentre le vittime utilizzano applicazioni legittime, e Silent Plugin, responsabile dell'installazione o della disinstallazione silenziosa di APK (Android Package Kit) ricevuti dal server C2. L'installazione e l'avvio di queste app avvengono discretamente in background.