Uma empresa de crimes cibernéticos chamada Lemon Group supostamente pré-instalou um malware conhecido como Guerilla em quase 9 milhões de smartphones, relógios, TVs e caixas de TV baseados em Android.
Os cibercriminosos usam o Guerilla para carregar cargas adicionais, interceptar senhas únicas de SMS, configurar um proxy reverso do dispositivo infectado, sequestrar sessões do WhatsApp e muito mais.
Lemon Group pré-instala malware em milhões de dispositivos Android
De acordo com um relatório da Trend Micro, cujos analistas descobriram a enorme empresa criminosa e apresentaram detalhes sobre ela na recente conferência BlackHat Asia, parte da infraestrutura dos invasores se sobrepõe à operação do trojan Triada de 2016. Triada era um trojan bancário encontrado pré-instalado em 42 modelos de smartphones Android de marcas chinesas de baixo custo que vendem seus produtos globalmente.
A Trend Micro diz que expôs o Lemon Group pela primeira vez em fevereiro de 2022 e, logo depois, o grupo supostamente rebatizou com o nome de “Durian Cloud SMS”. No entanto, a infraestrutura e as táticas dos atacantes permaneceram inalteradas.
Embora tenhamos identificado uma série de negócios que o Lemon Group faz para empresas de big data, marketing e publicidade, o principal negócio envolve a utilização de big data: analisando grandes quantidades de dados e as características correspondentes das remessas dos fabricantes, diferentes conteúdos de publicidade obtidos de usuários diferentes em momentos diferentes e os dados de hardware com envio de software detalhado.
Implantando o malware
A Trend Micro não detalhou como o Lemon Group infecta dispositivos com o firmware malicioso contendo Guerilla, mas esclareceu que os dispositivos examinados por seus analistas foram atualizados com novas ROMs. Os analistas identificaram mais de 50 ROMs diferentes infectadas com carregadores de malware iniciais, visando vários fornecedores de dispositivos Android.
“O grupo criminoso infectou milhões de dispositivos Android, principalmente telefones celulares, mas também relógios inteligentes, TVs inteligentes e muito mais”, diz a descrição da palestra Black Hat da Trend Micro.
A infecção transforma esses dispositivos em proxies móveis, ferramentas para roubar e vender mensagens SMS, mídias sociais e contas de mensagens online e monetização por meio de anúncios e cliques fraudulentos.
Possíveis formas de atingir esse comprometimento incluem ataques à cadeia de suprimentos, software de terceiros comprometido, processo de atualização de firmware comprometido ou recrutamento de pessoas de dentro da cadeia de fabricação ou distribuição do produto.
A Trend Micro diz que inicialmente comprou um telefone Android e extraiu sua “imagem ROM” para descobrir o firmware modificado implantado pelo Lemon Group.
Este dispositivo teve uma modificação na biblioteca do sistema ‘libandroid_runtime.so’ para conter código adicional que descriptografaria e executaria um arquivo DEX.
O código do arquivo DEX é carregado na memória e executado pelo Android Runtime para ativar o principal plugin usado pelos invasores, chamado “Sloth”, e também fornecer sua configuração, que contém um domínio Lemon Group para usar nas comunicações.
O malware Guerrilla
O plug-in principal do malware Guerrilla carrega plug-ins adicionais dedicados à execução de funcionalidades específicas, incluindo:
- Plug-in SMS: intercepta senhas únicas para WhatsApp, JingDong e Facebook recebidas via SMS.
- Proxy Plugin: Configura um proxy reverso do telefone infectado, permitindo que os invasores utilizem os recursos de rede da vítima.
- Cookie Plugin: Despeja os cookies do Facebook do diretório de dados do aplicativo e os exfiltra para o servidor C2. Ele também sequestra as sessões do WhatsApp para disseminar mensagens indesejadas do dispositivo comprometido.
- Splash Plugin: Exibe anúncios intrusivos para as vítimas quando elas estão usando aplicativos legítimos.
- Plug-in silencioso: instala APKs adicionais recebidos do servidor C2 ou desinstala aplicativos existentes conforme as instruções. A instalação e o lançamento do aplicativo são “silenciosos” no sentido de que ocorrem em segundo plano.
Essas funções permitem que o Lemon Group estabeleça uma estratégia de monetização diversificada que pode incluir a venda de contas comprometidas, sequestro de recursos de rede, oferta de serviços de instalação de aplicativos, geração de impressões de anúncios fraudulentos, oferta de serviços de proxy e serviços de SMS Phone Verified Accounts (PVA).