La pandilla de delitos informáticos Lemon Group logró preinstalar el malware conocido como Guerrilla en aproximadamente 8,9 millones de teléfonos inteligentes, relojes inteligentes, televisores y cajas de TV basados en Android en todo el mundo, según Trend Micro. Según la compañía de ciberseguridad, el malware puede transportar cargas útiles adicionales, interceptar contraseñas de un solo uso (OTP) de SMS, configurar un proxy inverso del dispositivo infectado e infiltrarse en las sesiones de WhatsApp.
“La infección convierte estos dispositivos en proxies móviles, herramientas para robar y vender mensajes SMS, redes sociales y cuentas de mensajería en línea, y monetización a través de publicidad y fraude de clics”, dijeron los investigadores de Trend Micro en un informe presentado en la conferencia BlackHat Asia. la semana pasada.
Los dispositivos infectados se distribuyeron globalmente y el malware se instaló en dispositivos enviados a más de 180 países, incluidos EE. UU., México, Indonesia, Tailandia, Rusia, Sudáfrica, India, Angola, Filipinas y Argentina.
La instalación de malware en dispositivos Android puede ocurrir cuando los fabricantes de dispositivos contratan a terceros para mejorar las imágenes predeterminadas del sistema. En su revisión de Guerilla, Trend Micro señaló que una empresa que fabrica componentes de firmware para teléfonos celulares también fabrica componentes similares para Android Auto, una aplicación móvil similar a un teléfono inteligente Android que se usa en unidades de información y entretenimiento en el tablero. . Esto magnifica y crea la posibilidad de que algunos sistemas de entretenimiento vehicular ya estén infectados”, dijo Trend Micro en el informe.
La firma de ciberseguridad comenzó a analizar Guerrilla luego de monitorear informes de teléfonos inteligentes comprometidos con el malware. Los investigadores compraron un teléfono celular infectado y extrajeron la imagen ROM (memoria de solo lectura) para el análisis forense. “Encontramos una biblioteca del sistema llamada libandroid_runtime.así que fue manipulada para inyectar un fragmento de código en una función llamada println_native”, dijo Trend Micro en el informe.
El código inyectado descifra un archivo DEX, el formato de archivo utilizado por el sistema operativo Android para ejecutar el código de bytes, de la sección de datos del dispositivo y lo carga en la memoria. El tiempo de ejecución de Android ejecuta el archivo para activar el complemento principal utilizado por los atacantes, llamado Sloth, y proporciona su configuración, que contiene un dominio de Lemon Group utilizado para las comunicaciones.
El negocio principal de Lemon Group implica el uso de big data y el análisis de grandes cantidades de datos y las características correspondientes de los envíos de los fabricantes, diferentes contenidos publicitarios obtenidos de diferentes usuarios en diferentes momentos y los datos de hardware con empuje de software detallado”, dijo Trend Micro. Esto permite al grupo monitorear clientes que puedan estar infectados por otras aplicaciones.
“Creemos que las operaciones del grupo también pueden implicar el robo de información del dispositivo infectado para usarla en la recopilación de grandes datos antes de venderlos a otros operadores de amenazas como otro esquema de monetización posterior a la infección”, dijo Trend Micro.
Lemon Group se identificó por primera vez en febrero del año pasado, luego de que cambiara su nombre a Durian Cloud SMS. Sin embargo, la infraestructura y las tácticas del grupo se mantuvieron sin cambios.
Fonte: CisoAdvisor
