Guerilla 恶意软件潜伏在数百万 Android 设备上

网络犯罪组织 Lemon Group 已成功将 Guerrilla 恶意软件植入全球约 890 万台基于 Android 的设备，包括智能手机、手表、电视和电视盒。网络安全公司趋势科技在最近的一份报告中透露了这一信息。

Guerrilla 恶意软件具有多种功能，例如加载其他恶意软件、拦截通过 SMS 发送的一次性密码 (OTP)、通过受感染设备建立反向代理以及渗透 WhatsApp 会话。

据趋势科技的研究人员称，受感染的设备被转化为移动代理，作为窃取和销售短信、社交媒体和在线消息帐户的工具，以及通过广告和点击欺诈来创收。这些发现在最近的 BlackHat Asia 会议期间发表在一份报告中。

该恶意软件已在全球分布，在 180 多个国家/地区发现了受感染的设备，包括美国、墨西哥、印度尼西亚、泰国、俄罗斯、南非、印度、安哥拉、菲律宾和阿根廷。

用于植入游击队的供应链攻击

Android 设备上存在恶意软件可归因于制造商雇用第三方来增强标准系统映像。趋势科技在对 Guerilla 恶意软件的分析中发现，一家负责为手机生产固件组件的公司也为 Android Auto 创建了类似的组件，Android Auto 是一款用于车辆仪表板系统的应用程序。

这引起了人们对车载娱乐系统可能受到感染的担忧。研究人员在研究过程中强调了这一点。在有关手机受损的报告浮出水面后，对 Guerilla 的调查开始了。研究人员获得了一部受感染的手机并提取了 ROM 映像以进行法医检查。在报告中，研究人员发现了一个名为 libandroid_runtime.so 的受操纵系统库，它将一段代码片段注入到一个名为 println_native 的函数中。

注入代码的目的是从设备的数据部分解密一个 DEX 文件，Android 操作系统使用它来执行字节码，并将其加载到内存中。此文件由 Android Runtime 执行以激活攻击者使用的主要插件，称为 Sloth，并提供其配置，包括用于通信的 Lemon Group 域。

柠檬集团主要专注于利用大数据分析制造商的出货数据、来自不同用户的各种广告内容以及详细的硬件和软件信息。这使他们能够监控客户并可能将他们感染其他应用程序。

游击队有显着的能力

Guerilla 恶意软件的主要插件会加载提供特定功能的额外专用插件。 SMS 插件拦截通过 SMS 接收的 WhatsApp、京东和 Facebook 的一次性密码。代理插件从受感染的设备建立反向代理，使攻击者能够利用受害者的网络资源。 Cookie 插件从应用程序数据目录中检索 Facebook cookie 并将它们发送到 C2 服务器，同时还劫持 WhatsApp 会话以分发不需要的消息。

此外，该恶意软件还包括 Splash Plugin（在受害者使用合法应用程序时显示侵入性广告）和 Silent Plugin（负责静默安装或卸载从 C2 服务器接收的 APK（Android Package Kits））。这些应用程序的安装和启动在后台谨慎进行。