Malware vem pré-instalado em 9 milhões de dispositivos Android

Da Redação
21/05/2023

A gangue de crimes cibernéticos Lemon Group conseguiu pré-instalar o malware conhecido como Guerrilla em cerca de 8,9 milhões de smartphones,  smart watches, TVs e TV box baseados em Android em todo o mundo, de acordo com a Trend Micro. Segundo a empresa de cibersegurança, o malware pode carregar cargas adicionais, interceptar senhas únicas (OTPs) de SMS, configurar um proxy reverso do dispositivo infectado e se infiltrar em sessões do WhatsApp.

“A infecção transforma esses dispositivos em proxies móveis, ferramentas para roubar e vender mensagens de SMS, mídias sociais e contas de mensagens online e monetização por meio de anúncios e cliques fraudulentos”, disseram pesquisadores da Trend Micro em um relatório apresentado na conferência BlackHat Ásia na semana passada.

Os dispositivos infectados foram distribuídos globalmente, com o malware instalado em dispositivos enviados para mais de 180 países, incluindo EUA, México, Indonésia, Tailândia, Rússia, África do Sul, Índia, Angola, Filipinas e Argentina.

A instalação de malware em dispositivos Android pode ocorrer quando terceiros são contratados por fabricantes de dispositivos para aprimorar as imagens padrão do sistema. Em sua análise do Guerilla, a Trend Micro observou que uma empresa que produz os componentes de firmware para telefones celulares também produz componentes semelhantes para o Android Auto, um aplicativo móvel semelhante a um smartphone Android usado nas unidades de informação e entretenimento do painel de veículos. Isso amplia e cria a possibilidade de que alguns sistemas de entretenimento veicular já estejam infectados”, disse a Trend Micro no relatório.

A empresa de cibersegurança começou a análise do Guerrilla após monitorar relatórios de smartphones comprometidos com o malware. Os pesquisadores compraram um celular infectado e extraíram a imagem ROM (read only memory, ou memória apenas para leitura) para análise forense. “Encontramos uma biblioteca de sistema chamada libandroid_runtime.so que foi adulterada para injetar um snippet de código em uma função chamada println_native”, disse a Trend Micro no relatório.

Veja isso
Google encontra mais dias zero no Android e iOS, além do Chrome
Novo trojan para Android executa ataques de controle de conta

O código injetado descriptografa um arquivo DEX — formato de arquivo usado pelo sistema operacional Android para executar bytecode — da seção de dados do dispositivo e carregá-lo na memória. O arquivo é executado pelo Android Runtime para ativar o principal plug-in usado pelos invasores, chamado Sloth, e fornece sua configuração, que contém um domínio Lemon Group usado para comunicações.

O principal negócio do Lemon Group envolve a utilização de big data e análise de grandes quantidades de dados e as características correspondentes das remessas dos fabricantes, diferentes conteúdos publicitários obtidos de usuários diversos em momentos distintos e os dados de hardware com push de software detalhado”, disse a Trend Micro. Isso permite que o grupo monitore os clientes que podem ser infectados por outros aplicativos.

“Acreditamos que as operações do grupo também podem envolver o roubo de informações do dispositivo infectado para serem usadas na coleta de big data antes de vendê-las a outros operadores de ameaças como outro esquema de monetização pós-infecção”, disse a Trend Micro.

O Lemon Group foi identificado pela primeira vez em fevereiro do ano passado, após ter mudado de nome para Durian Cloud SMS. No entanto, a infraestrutura e as táticas do grupo permaneceram inalteradas.

Compartilhar: