[25/05/2023] La banda de ciberdelincuentes Lemon Group ha conseguido preinstalar el malware Guerrilla en unos 8,9 millones de smartphones, relojes, televisores y TV boxes con Android en todo el mundo, según Trend Micro.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
El malware Guerrilla puede cargar cargas útiles adicionales, interceptar contraseñas de un solo uso (OTP) de textos SMS, configurar un proxy inverso desde el dispositivo infectado e infiltrarse en sesiones de WhatsApp.
"La infección convierte estos dispositivos en proxies móviles, herramientas para robar y vender mensajes SMS, cuentas de redes sociales y mensajería en línea, y monetización a través de anuncios y fraude de clics", afirman los investigadores de Trend Micro en un informe presentado la semana que pasó en la conferencia BlackHat Asia.
Los dispositivos infectados se han distribuido por todo el mundo, con el malware instalado en dispositivos que se han enviado a más de 180 países, entre ellos Estados Unidos, México, Indonesia, Tailandia, Rusia, Sudáfrica, India, Angola, Filipinas y Argentina.
Terceros preinstalan malware en dispositivos Android
La instalación de malware en dispositivos Android puede producirse cuando los fabricantes de estos dispositivos contratan a terceros para mejorar las imágenes estándar del sistema. En su análisis de Guerilla, Trend Micro señaló que una empresa que produce los componentes de firmware para teléfonos móviles también produce componentes similares para Android Auto, una aplicación móvil similar a un smartphone Android que se utiliza en las unidades de información y entretenimiento del salpicadero de los vehículos.
"Esto amplía y crea la posibilidad de que pueda haber algunos sistemas de entretenimiento en el automóvil que ya estén infectados", señaló Trend Micro en la investigación.
Trend Micro comenzó su análisis de Guerrilla tras observar informes de teléfonos infectados con el malware. Los investigadores compraron un teléfono infectado y extrajeron la imagen de la ROM para su análisis forense. "Encontramos una biblioteca del sistema llamada libandroid_runtime.so que fue manipulada para inyectar un fragmento de código en una función llamada println_native", dijo Trend Micro en su informe.
El código inyectado descifrará un archivo DEX -un formato de archivo utilizado por el sistema operativo Android para ejecutar código de bytes- de la sección de datos del dispositivo y lo cargará en la memoria. El archivo es ejecutado por Android Runtime para activar el plugin principal utilizado por los atacantes, llamado Sloth, y proporciona su configuración, que contiene un dominio de Lemon Group utilizado para las comunicaciones.
"Creemos que las operaciones del actor de la amenaza también pueden ser un caso de robo de información del dispositivo infectado para ser utilizado para la recopilación de big data antes de venderlo a otros actores de amenazas como otro esquema de monetización posterior a la infección", anotó Trend Micro.
Funciones del malware Guerrilla de Lemon Group
El plugin principal del malware Guerrilla carga plugins adicionales dedicados a realizar funciones específicas: SMS Plugin intercepta las contraseñas de un solo uso de WhatsApp, JingDong y Facebook recibidas a través de SMS; Proxy Plugin configura un proxy inverso desde el teléfono infectado, lo que permite a los atacantes utilizar los recursos de red de la víctima; Cookie Plugin toma las cookies de Facebook del directorio de datos de la app y las exfiltra al servidor C2. También secuestra sesiones de WhatsApp para difundir mensajes no deseados desde el dispositivo comprometido.
El malware también incluye Splash Plugin, que muestra anuncios intrusivos a las víctimas cuando están utilizando aplicaciones legítimas, y Silent Plugin, que instala APK (Android Package Kits) adicionales recibidos del servidor C2, o desinstala aplicaciones existentes, según las instrucciones. La instalación y el lanzamiento de la aplicación son silenciosos, en el sentido de que tienen lugar en segundo plano, según Trend Micro.
Enlaces al troyano Triada
Parte de la infraestructura de los atacantes se solapa con la operación del troyano Triada del 2016.
Triada es un troyano bancario que se encontró preinstalado en 42 modelos de smartphones Android de marcas chinas de bajo coste. "Creemos que estos dos grupos trabajaron juntos en algún momento, ya que observamos cierta superposición de su infraestructura de servidores de C&C", señaló Trend Micro.
El Lemon Group fue identificado por primera vez en febrero de 2022, tras lo cual el grupo cambió de marca bajo el nombre de Durian Cloud SMS. Sin embargo, la infraestructura y las tácticas de los atacantes permanecieron inalteradas.
Basado en el artículo de Apurva Venkat (CSO) y editado por CIO Perú