A gangue de crimes cibernéticos Lemon Group conseguiu pré-instalar o malware conhecido como Guerrilla em cerca de 8,9 milhões de smartphones baseados em Android, relógios inteligentes, TVs e caixas de TV em todo o mundo, de acordo com a Trend Micro. De acordo com a empresa de segurança cibernética, o malware pode transportar cargas adicionais, interceptar senhas únicas de SMS (OTPs), configurar um proxy reverso do dispositivo infectado e se infiltrar nas sessões do WhatsApp.
“A infecção transforma esses dispositivos em proxies móveis, ferramentas para roubar e vender mensagens SMS, mídias sociais e contas de mensagens online e monetização por meio de anúncios e cliques fraudulentos”, disseram pesquisadores da Trend Micro em um relatório apresentado na conferência BlackHat Asia. semana passada.
Os dispositivos infectados foram distribuídos globalmente, com o malware instalado em dispositivos enviados para mais de 180 países, incluindo EUA, México, Indonésia, Tailândia, Rússia, África do Sul, Índia, Angola, Filipinas e Argentina.
A instalação de malware em dispositivos Android pode ocorrer quando terceiros são contratados por fabricantes de dispositivos para aprimorar as imagens padrão do sistema. Em sua análise da Guerilla, a Trend Micro observou que uma empresa que fabrica componentes de firmware para telefones celulares também fabrica componentes semelhantes para o Android Auto, um aplicativo móvel semelhante a um smartphone Android usado em unidades de infoentretenimento no painel. . Isso amplia e cria a possibilidade de que alguns sistemas de entretenimento veicular já estejam infectados”, disse a Trend Micro no relatório.
A empresa de segurança cibernética começou a analisar o Guerrilla após monitorar relatórios de smartphones comprometidos com o malware. Os pesquisadores compraram um telefone celular infectado e extraíram a imagem ROM (memória somente leitura) para análise forense. “Encontramos uma biblioteca de sistema chamada libandroid_runtime.so que foi adulterada para injetar um trecho de código em uma função chamada println_native”, disse a Trend Micro no relatório.
O código injetado descriptografa um arquivo DEX – o formato de arquivo usado pelo sistema operacional Android para executar o bytecode – da seção de dados do dispositivo e o carrega na memória. O arquivo é executado pelo Android Runtime para ativar o principal plug-in usado pelos invasores, chamado Sloth, e fornece sua configuração, que contém um domínio Lemon Group usado para comunicações.
O principal negócio do Lemon Group envolve o uso de big data e análise de grandes quantidades de dados e as características correspondentes das remessas dos fabricantes, diferentes conteúdos de publicidade obtidos de diferentes usuários em momentos diferentes e os dados de hardware com push de software detalhado”, disse a Trend Micro. Isso permite que o grupo monitore clientes que possam estar infectados por outros aplicativos.
“Acreditamos que as operações do grupo também podem envolver o roubo de informações do dispositivo infectado para serem usadas na coleta de big data antes de vendê-las a outros operadores de ameaças como outro esquema de monetização pós-infecção”, disse a Trend Micro.
O Lemon Group foi identificado pela primeira vez em fevereiro do ano passado, depois que mudou seu nome para Durian Cloud SMS. No entanto, a infraestrutura e as táticas do grupo permaneceram inalteradas.
Fonte: CisoAdvisor
