Guerilla Malware slumrer på millioner av Android-enheter
Lemon Group, en organisasjon for nettkriminalitet, har med suksess implantert Guerrilla malware på omtrent 8,9 millioner Android-baserte enheter over hele verden, inkludert smarttelefoner, klokker, TV-er og TV-bokser. Trend Micro, et cybersikkerhetsselskap, avslørte denne informasjonen i en fersk rapport.
Guerrilla-malwaren har ulike funksjoner, for eksempel å laste ytterligere skadelig programvare, avskjære engangspassord (OTP) sendt via SMS, etablere en omvendt proxy gjennom den infiserte enheten og infiltrere WhatsApp-sesjoner.
I følge forskere fra Trend Micro blir de infiserte enhetene forvandlet til mobile proxyer, som fungerer som verktøy for å stjele og selge SMS-meldinger, sosiale medier og nettbaserte meldingskontoer, samt generere inntekter gjennom annonser og klikksvindel. Disse funnene ble presentert i en rapport under den nylige BlackHat Asia-konferansen.
Skadevaren har blitt distribuert globalt, med infiserte enheter funnet i mer enn 180 land, inkludert USA, Mexico, Indonesia, Thailand, Russland, Sør-Afrika, India, Angola, Filippinene og Argentina.
Supply Chain Attack Brukes til å implantere gerilja
Tilstedeværelsen av skadelig programvare på Android-enheter kan tilskrives involvering av tredjeparter ansatt av produsenter for å forbedre standard systembilder. Trend Micro, i sin analyse av Guerilla malware, oppdaget at et selskap som er ansvarlig for å produsere fastvarekomponenter for mobiltelefoner, også lager lignende komponenter for Android Auto, en app som brukes på kjøretøys dashbordsystemer.
Dette vekker bekymring angående muligheten for infiserte underholdningssystemer i bilen. Forskere understreket dette punktet under sin forskning. Etterforskningen av Guerilla startet etter at rapporter om kompromitterte telefoner dukket opp. Forskere skaffet en infisert telefon og hentet ut ROM-bildet for rettsmedisinsk undersøkelse. I rapporten identifiserte forskere et manipulert systembibliotek kalt libandroid_runtime.so, som injiserte en kodebit i en funksjon kalt println_native.
Den injiserte kodens formål er å dekryptere en DEX-fil, brukt av Android-operativsystemet for å utføre bytekode, fra enhetens dataseksjon og laste den inn i minnet. Denne filen kjøres av Android Runtime for å aktivere den primære plugin-en brukt av angriperne, kjent som Sloth, og gi dens konfigurasjon, inkludert et Lemon Group-domene for kommunikasjon.
Lemon Group fokuserer først og fremst på å bruke big data for å analysere produsentenes forsendelsesdata, diverse reklameinnhold fra forskjellige brukere og detaljert maskinvare- og programvareinformasjon. Dette lar dem overvåke kunder og potensielt infisere dem med andre applikasjoner.
Gerilja har betydelige evner
Guerilla malwares primære plugin laster inn flere dedikerte plugins som tjener spesifikke funksjoner. SMS-pluginen fanger opp engangspassord mottatt via SMS for WhatsApp, JingDong og Facebook. Proxy-pluginen etablerer en omvendt proxy fra den infiserte enheten, slik at angriperne kan utnytte offerets nettverksressurser. Cookie Plugin henter Facebook-informasjonskapsler fra appdatakatalogen og sender dem til C2-serveren, samtidig som den kaprer WhatsApp-økter for distribusjon av uønskede meldinger.
I tillegg inkluderer skadevaren Splash Plugin, som viser påtrengende annonser mens ofrene bruker legitime applikasjoner, og Silent Plugin, ansvarlig for stille installasjon eller avinstallering av APK-er (Android Package Kits) mottatt fra C2-serveren. Installasjonen og lanseringen av disse appene skjer diskret i bakgrunnen.
