Złośliwe oprogramowanie Guerilla drzemie na milionach urządzeń z Androidem

Lemon Group, organizacja zajmująca się cyberprzestępczością, z powodzeniem wszczepiła złośliwe oprogramowanie Guerrilla na około 8,9 miliona urządzeń z systemem Android na całym świecie, w tym smartfony, zegarki, telewizory i telewizory. Trend Micro, firma zajmująca się cyberbezpieczeństwem, ujawniła te informacje w niedawnym raporcie.

Złośliwe oprogramowanie Guerrilla posiada różne możliwości, takie jak ładowanie dodatkowego złośliwego oprogramowania, przechwytywanie haseł jednorazowych (OTP) wysyłanych za pośrednictwem wiadomości SMS, ustanawianie odwrotnego proxy za pośrednictwem zainfekowanego urządzenia oraz infiltrowanie sesji WhatsApp.

Według badaczy z firmy Trend Micro zainfekowane urządzenia przekształcają się w mobilne serwery proxy, służące jako narzędzia do kradzieży i sprzedaży wiadomości SMS, kont w mediach społecznościowych i komunikatorach internetowych, a także do generowania przychodów z reklam i oszustw związanych z kliknięciami. Odkrycia te zostały zaprezentowane w raporcie podczas niedawnej konferencji BlackHat Asia.

Złośliwe oprogramowanie było dystrybuowane na całym świecie, a zainfekowane urządzenia znaleziono w ponad 180 krajach, w tym w Stanach Zjednoczonych, Meksyku, Indonezji, Tajlandii, Rosji, RPA, Indiach, Angoli, Filipinach i Argentynie.

Atak na łańcuch dostaw użyty do wszczepienia partyzantki

Obecność złośliwego oprogramowania na urządzeniach z Androidem można przypisać zaangażowaniu stron trzecich wynajętych przez producentów w celu ulepszenia standardowych obrazów systemu. Trend Micro w swojej analizie złośliwego oprogramowania Guerilla odkrył, że firma odpowiedzialna za produkcję komponentów oprogramowania dla telefonów komórkowych tworzy również podobne komponenty dla Android Auto, aplikacji używanej w systemach deski rozdzielczej pojazdu.

Rodzi to obawy dotyczące możliwości zainfekowania samochodowych systemów rozrywki. Naukowcy podkreślili ten punkt podczas swoich badań. Dochodzenie w sprawie Guerilla rozpoczęło się po pojawieniu się doniesień o zainfekowanych telefonach. Badacze uzyskali zainfekowany telefon i wyodrębnili obraz ROM do badań kryminalistycznych. W raporcie badacze zidentyfikowali zmanipulowaną bibliotekę systemową o nazwie libandroid_runtime.so, która wstrzyknęła fragment kodu do funkcji o nazwie println_native.

Celem wstrzykniętego kodu jest odszyfrowanie pliku DEX, używanego przez system operacyjny Android do wykonywania kodu bajtowego, z sekcji danych urządzenia i załadowanie go do pamięci. Ten plik jest wykonywany przez środowisko wykonawcze systemu Android w celu aktywacji głównej wtyczki używanej przez osoby atakujące, znanej jako Sloth, i zapewnienia jej konfiguracji, w tym domeny Lemon Group do komunikacji.

Lemon Group koncentruje się przede wszystkim na wykorzystaniu dużych zbiorów danych do analizy danych wysyłkowych producentów, różnych treści reklamowych pochodzących od różnych użytkowników oraz szczegółowych informacji o sprzęcie i oprogramowaniu. Pozwala im to monitorować klientów i potencjalnie infekować ich innymi aplikacjami.

Guerilla ma znaczące możliwości

Główna wtyczka złośliwego oprogramowania Guerilla ładuje dodatkowe dedykowane wtyczki, które pełnią określone funkcje. Wtyczka SMS przechwytuje jednorazowe hasła otrzymane SMS-em do WhatsApp, JingDong i Facebooka. Wtyczka Proxy ustanawia odwrotne proxy z zainfekowanego urządzenia, umożliwiając atakującym wykorzystanie zasobów sieciowych ofiary. Wtyczka Cookie pobiera pliki cookie Facebooka z katalogu danych aplikacji i wysyła je do serwera C2, jednocześnie przechwytując sesje WhatsApp w celu dystrybucji niechcianych wiadomości.

Dodatkowo, malware zawiera Splash Plugin, który wyświetla natrętne reklamy, podczas gdy ofiary korzystają z legalnych aplikacji, oraz Silent Plugin, odpowiedzialny za cichą instalację lub odinstalowanie APK (Android Package Kits) otrzymanych z serwera C2. Instalacja i uruchamianie tych aplikacji odbywa się dyskretnie w tle.