Guerilla Malware slumrar på miljontals Android-enheter
Lemon Group, en cyberbrottsorganisation, har framgångsrikt implanterat Guerrilla malware på cirka 8,9 miljoner Android-baserade enheter världen över, inklusive smartphones, klockor, TV-apparater och TV-boxar. Trend Micro, ett cybersäkerhetsföretag, avslöjade denna information i en färsk rapport.
Guerrilla skadlig programvara har olika möjligheter, såsom att ladda ytterligare skadlig programvara, avlyssna engångslösenord (OTP) som skickas via SMS, upprätta en omvänd proxy via den infekterade enheten och infiltrera WhatsApp-sessioner.
Enligt forskare från Trend Micro förvandlas de infekterade enheterna till mobila proxyservrar, som fungerar som verktyg för att stjäla och sälja SMS-meddelanden, sociala medier och meddelandekonton online, samt generera intäkter genom annonser och klickbedrägerier. Dessa resultat presenterades i en rapport under den senaste BlackHat Asia-konferensen.
Skadlig programvara har distribuerats globalt, med infekterade enheter som hittats i mer än 180 länder, inklusive USA, Mexiko, Indonesien, Thailand, Ryssland, Sydafrika, Indien, Angola, Filippinerna och Argentina.
Supply Chain Attack Används för att implantera gerilla
Förekomsten av skadlig programvara på Android-enheter kan tillskrivas inblandning av tredje parter som anlitats av tillverkare för att förbättra standardsystembilderna. Trend Micro upptäckte i sin analys av Guerilla skadlig kod att ett företag som ansvarar för att producera firmwarekomponenter för mobiltelefoner också skapar liknande komponenter för Android Auto, en app som används på instrumentpanelssystem i fordon.
Detta väcker oro angående möjligheten av infekterade underhållningssystem i bilen. Forskare betonade denna punkt under sin forskning. Utredningen av Guerilla började efter att rapporter om komprometterade telefoner dök upp. Forskare skaffade en infekterad telefon och extraherade ROM-bilden för rättsmedicinsk undersökning. I rapporten identifierade forskare ett manipulerat systembibliotek vid namn libandroid_runtime.so, som injicerade ett kodavsnitt i en funktion som heter println_native.
Syftet med den injicerade koden är att dekryptera en DEX-fil, som används av Android-operativsystemet för att exekvera bytekod, från enhetens datasektion och ladda den i minnet. Den här filen körs av Android Runtime för att aktivera den primära plugin som används av angriparna, känd som Sloth, och tillhandahålla dess konfiguration, inklusive en Lemon Group-domän för kommunikation.
Lemon Group fokuserar främst på att använda big data för att analysera tillverkarnas leveransdata, olika reklaminnehåll från olika användare och detaljerad hård- och mjukvaruinformation. Detta gör att de kan övervaka kunder och potentiellt infektera dem med andra applikationer.
Guerilla har betydande förmågor
Guerilla malwares primära plugin laddar ytterligare dedikerade plugins som har specifika funktioner. SMS Plugin fångar upp engångslösenord som tas emot via SMS för WhatsApp, JingDong och Facebook. Proxy-pluginen upprättar en omvänd proxy från den infekterade enheten, vilket gör att angriparna kan utnyttja offrets nätverksresurser. Cookie Plugin hämtar Facebook-cookies från appens datakatalog och skickar dem till C2-servern, samtidigt som den kapar WhatsApp-sessioner för distribution av oönskade meddelanden.
Dessutom inkluderar skadlig programvara Splash Plugin, som visar påträngande annonser medan offren använder legitima applikationer, och Silent Plugin, som ansvarar för tyst installation eller avinstallation av APK-filer (Android Package Kit) som tagits emot från C2-servern. Installationen och lanseringen av dessa appar sker diskret i bakgrunden.
