Otra alerta de seguridad a seguir de cerca. Según Trend Micro, el grupo cibercriminal Lemon Group logró preinstalar un malware conocido como Guerrilla en aproximadamente 8,9 millones de teléfonos inteligentes, relojes, televisores y decodificadores con Android en todo el mundo. Guerrilla puede instalar cargas útiles adicionales, interceptar contraseñas de un solo uso (OTP) de mensajes SMS, configurar un proxy inverso desde un dispositivo infectado e infiltrarse en sesiones de WhatsApp. "La infección convierte estos dispositivos en servidores proxy móviles, herramientas para robar y vender mensajes SMS, redes sociales y cuentas de correo electrónico en línea, y monetizarlos a través de anuncios y fraude de clics", dijeron los investigadores a Trend Micro. en un informe presentado en la conferencia BlackHat Asia celebrada del 9 al 12 de mayo de 2023 en Singapur. Los sistemas infectados se distribuyeron en todo el mundo y el malware se instaló en dispositivos enviados a más de 180 países, incluidos Estados Unidos, México, Indonesia, Tailandia, Rusia y Sudáfrica. Sur, India, Angola, Filipinas y Argentina.

La instalación de malware en dispositivos Android puede realizarse a través de socios externos contratados por los fabricantes para mejorar el sistema operativo de sus productos. En su análisis de Guerrilla, Trend Micro indica que una empresa que produce componentes de firmware para teléfonos móviles también produce componentes similares para Android Auto, una aplicación móvil de Android utilizada en los paneles de información y entretenimiento de los vehículos. "Esto amplía las posibilidades de infección y es probable que algunos sistemas de entretenimiento de los automóviles ya estén infectados", afirmó Trend Micro en su estudio. Fue después de conocer los informes sobre ataques de teléfonos inteligentes que el editor se interesó en Guerrilla y sus investigadores extrajeron la imagen ROM de un teléfono infectado para analizarla. "Encontramos una biblioteca del sistema llamada libandroid_runtime.así que se modificó para inyectar un fragmento de código en una función llamada println_native", explicó el proveedor de seguridad.

Índice
  1. Funciones específicas activadas por complementos
  2. Enlaces al troyano Triada

Funciones específicas activadas por complementos

El código inyectado descifra un archivo DEX (un formato de archivo utilizado por el sistema operativo Android para ejecutar código de bytes) de la sección de datos del dispositivo y lo carga en la memoria. El archivo es ejecutado por Android Runtime para activar el complemento principal, llamado Sloth, utilizado por los atacantes, y proporciona su configuración, que contiene un dominio de Lemon Group utilizado para las comunicaciones. La actividad principal de la banda Lemon Group implica el uso de big data, "el análisis de cantidades masivas de datos y las características correspondientes de las entregas de los fabricantes, diferentes contenidos publicitarios obtenidos de diferentes usuarios en diferentes momentos y datos materiales con software detallado". ”, explicó Trend Micro. Todo esto permite a los ciberdelincuentes monitorear a los clientes que pueden estar infectados por otras aplicaciones. “Creemos que el actor malicioso también busca robar información del dispositivo infectado para utilizarla en la recopilación de datos masivos (grandes). datos) antes de venderlos a otros ciberatacantes como parte de Otro programa de monetización posterior a la infección”, dijo también Trend Micro.

El complemento principal del malware Guerilla carga extensiones adicionales dedicadas a realizar funciones específicas: el complemento SMS intercepta contraseñas de un solo uso para WhatsApp, JingDong y Facebook, aquellas recibidas por SMS; Proxy Plugin configura un proxy inverso desde el teléfono infectado para utilizar los recursos de red de la víctima; Complemento de cookies para absorber las cookies de Facebook en el directorio de datos de la aplicación y filtrarlas al servidor C2. Este complemento también secuestra sesiones de WhatsApp para enviar mensajes no deseados desde un dispositivo comprometido. El malware también incluye Splash Plugin, que muestra anuncios intrusivos a las víctimas cuando utilizan aplicaciones legítimas, y Silent Plugin, que instala APK adicionales (Android Package Kits) recibidos del servidor C2, o desinstala aplicaciones existentes, según las instrucciones. "La instalación y el inicio de la aplicación son silenciosos ya que ocurren en segundo plano", dijo Trend Micro.

Enlaces al troyano Triada

Parte de la infraestructura de los atacantes se superpone con el funcionamiento del troyano Triada, que apareció en 2016. Este troyano bancario se encontró preinstalado en 42 modelos de teléfonos inteligentes Android de marcas chinas económicas. "Creemos que estos dos grupos trabajaron juntos en algún momento, ya que observamos cierta superposición en su infraestructura de servidores C&C", dijo Trend Micro. Fue en febrero de 2022 cuando se identificó por primera vez a Lemon Group, antes de cambiar su nombre a Durian Cloud SMS. Pero la infraestructura y las tácticas de los atacantes se mantuvieron sin cambios.