Guerilla-malware sluimert op miljoenen Android-apparaten

BlackRock Android Malware

Lemon Group, een cybercriminaliteitsorganisatie, heeft met succes de Guerrilla-malware geïmplanteerd op ongeveer 8,9 miljoen Android-gebaseerde apparaten wereldwijd, waaronder smartphones, horloges, tv's en tv-boxen. Trend Micro, een cyberbeveiligingsbedrijf, onthulde deze informatie in een recent rapport.

De Guerrilla-malware beschikt over verschillende mogelijkheden, zoals het laden van aanvullende schadelijke software, het onderscheppen van eenmalige wachtwoorden (OTP's) die via sms zijn verzonden, het tot stand brengen van een reverse proxy via het geïnfecteerde apparaat en het infiltreren van WhatsApp-sessies.

Volgens onderzoekers van Trend Micro worden de geïnfecteerde apparaten omgezet in mobiele proxy's, die dienen als tools voor het stelen en verkopen van sms-berichten, sociale media en online berichtenaccounts, en om inkomsten te genereren via advertenties en klikfraude. Deze bevindingen werden gepresenteerd in een rapport tijdens de recente BlackHat Asia-conferentie.

De malware is wereldwijd verspreid en geïnfecteerde apparaten zijn gevonden in meer dan 180 landen, waaronder de Verenigde Staten, Mexico, Indonesië, Thailand, Rusland, Zuid-Afrika, India, Angola, de Filippijnen en Argentinië.

Supply Chain Attack gebruikt om Guerilla te implanteren

De aanwezigheid van malware op Android-apparaten kan worden toegeschreven aan de betrokkenheid van derden die door fabrikanten zijn ingehuurd om de standaard systeemafbeeldingen te verbeteren. Trend Micro ontdekte bij zijn analyse van de Guerilla-malware dat een bedrijf dat verantwoordelijk is voor de productie van firmwarecomponenten voor mobiele telefoons, ook vergelijkbare componenten maakt voor Android Auto, een app die wordt gebruikt op dashboardsystemen van voertuigen.

Dit geeft aanleiding tot bezorgdheid over de mogelijkheid van geïnfecteerde entertainmentsystemen in de auto. Onderzoekers benadrukten dit punt tijdens hun onderzoek. Het onderzoek naar Guerilla begon nadat meldingen van gecompromitteerde telefoons opdoken. Onderzoekers hebben een geïnfecteerde telefoon verkregen en de ROM-afbeelding geëxtraheerd voor forensisch onderzoek. In het rapport identificeerden onderzoekers een gemanipuleerde systeembibliotheek met de naam libandroid_runtime.so, die een codefragment in een functie met de naam println_native injecteerde.

Het doel van de geïnjecteerde code is om een DEX-bestand, gebruikt door het Android-besturingssysteem voor het uitvoeren van bytecode, te decoderen uit de gegevenssectie van het apparaat en het in het geheugen te laden. Dit bestand wordt uitgevoerd door Android Runtime om de primaire plug-in die door de aanvallers wordt gebruikt, bekend als Sloth, te activeren en de configuratie ervan te bieden, inclusief een Lemon Group-domein voor communicatie.

Lemon Group richt zich voornamelijk op het gebruik van big data voor het analyseren van verzendgegevens van fabrikanten, verschillende advertentie-inhoud van verschillende gebruikers en gedetailleerde hardware- en software-informatie. Hierdoor kunnen ze klanten monitoren en mogelijk met andere applicaties infecteren.

Guerrilla heeft aanzienlijke capaciteiten

De primaire plug-in van de Guerilla-malware laadt extra speciale plug-ins die specifieke functies dienen. De SMS-plug-in onderschept eenmalige wachtwoorden die via sms zijn ontvangen voor WhatsApp, JingDong en Facebook. De proxy-plug-in brengt een reverse proxy tot stand vanaf het geïnfecteerde apparaat, waardoor de aanvallers de netwerkbronnen van het slachtoffer kunnen misbruiken. De Cookie-plug-in haalt Facebook-cookies uit de app-gegevensdirectory en stuurt ze naar de C2-server, terwijl ook WhatsApp-sessies worden gekaapt voor de verspreiding van ongewenste berichten.

Bovendien bevat de malware de Splash Plugin, die opdringerige advertenties weergeeft terwijl de slachtoffers legitieme applicaties gebruiken, en de Silent Plugin, die verantwoordelijk is voor het stilletjes installeren of verwijderen van APK's (Android Package Kits) die van de C2-server worden ontvangen. De installatie en lancering van deze apps gebeurt discreet op de achtergrond.

Tegen Zaib
May 23, 2023
Android Malware
Nederlands
May 23, 2023
Android Malware

Populaire posts

Microsoft waarschuwt dat door de staat gesteunde...

5 days geleden

Trojan Al11 malwaredetectie

11 months geleden

Pop-ups "Uw iCloud wordt gehackt" en "Uw iPhone is gehackt".

7 months geleden

Pinaview is een volledig uitgeruste adware-app

10 months geleden

Wat is Lucky-ransomware?

7 months geleden

'American Express - Update uw accountgegevens' E-mailfraude

6 months geleden
Nederlands
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.