Guerilla Malware dorme em milhões de dispositivos Android

O Lemon Group, uma organização de crimes cibernéticos, implantou com sucesso o malware Guerrilla em aproximadamente 8,9 milhões de dispositivos baseados em Android em todo o mundo, incluindo smartphones, relógios, TVs e caixas de TV. A Trend Micro, uma empresa de segurança cibernética, revelou essas informações em um relatório recente.

O malware Guerrilla possui vários recursos, como carregar software malicioso adicional, interceptar senhas descartáveis (OTPs) enviadas por SMS, estabelecer um proxy reverso por meio do dispositivo infectado e se infiltrar em sessões do WhatsApp.

Segundo pesquisadores da Trend Micro, os aparelhos infectados são transformados em proxies móveis, servindo como ferramentas para roubo e venda de mensagens SMS, redes sociais e contas de mensagens online, além de gerar receita por meio de propagandas e cliques fraudulentos. Essas descobertas foram apresentadas em um relatório durante a recente conferência BlackHat Asia.

O malware foi distribuído globalmente, com dispositivos infectados encontrados em mais de 180 países, incluindo Estados Unidos, México, Indonésia, Tailândia, Rússia, África do Sul, Índia, Angola, Filipinas e Argentina.

Ataque à cadeia de suprimentos usado para implantar guerrilha

A presença de malware em dispositivos Android pode ser atribuída ao envolvimento de terceiros contratados pelos fabricantes para aprimorar as imagens padrão do sistema. A Trend Micro, em sua análise do malware Guerilla, descobriu que uma empresa responsável por produzir componentes de firmware para celulares também cria componentes semelhantes para o Android Auto, aplicativo usado em sistemas de painel de veículos.

Isso levanta preocupações sobre a possibilidade de sistemas de entretenimento veicular infectados. Os pesquisadores enfatizaram esse ponto durante sua pesquisa. A investigação sobre a Guerilla começou depois que surgiram relatos de telefones comprometidos. Os pesquisadores obtiveram um telefone infectado e extraíram a imagem ROM para exame forense. No relatório, os pesquisadores identificaram uma biblioteca de sistema manipulada chamada libandroid_runtime.so, que injetou um trecho de código em uma função chamada println_native.

O objetivo do código injetado é descriptografar um arquivo DEX, utilizado pelo sistema operacional Android para executar o bytecode, da seção de dados do dispositivo e carregá-lo na memória. Esse arquivo é executado pelo Android Runtime para ativar o plugin primário empregado pelos invasores, conhecido como Sloth, e fornecer sua configuração, incluindo um domínio Lemon Group para comunicação.

O Lemon Group se concentra principalmente na utilização de big data para analisar os dados de remessa dos fabricantes, vários conteúdos de publicidade de diferentes usuários e informações detalhadas de hardware e software. Isso permite que eles monitorem os clientes e possam infectá-los com outros aplicativos.

A guerrilha tem capacidades significativas

O plug-in principal do malware Guerilla carrega plug-ins dedicados adicionais que atendem a funções específicas. O Plugin SMS intercepta senhas únicas recebidas via SMS para WhatsApp, JingDong e Facebook. O Proxy Plugin estabelece um proxy reverso do dispositivo infectado, permitindo que os invasores explorem os recursos de rede da vítima. O Cookie Plugin recupera os cookies do Facebook do diretório de dados do aplicativo e os envia para o servidor C2, além de sequestrar as sessões do WhatsApp para a distribuição de mensagens indesejadas.

Além disso, o malware inclui o Splash Plugin, que exibe anúncios intrusivos enquanto as vítimas usam aplicativos legítimos, e o Silent Plugin, responsável por instalar ou desinstalar silenciosamente APKs (Android Package Kits) recebidos do servidor C2. A instalação e o lançamento desses aplicativos ocorrem discretamente em segundo plano.