Millones de televisores y teléfonos Android fueron infectados con malware preinstalado

En general, los dispositivos Android se han ganado una reputación decididamente mixta en cuanto a seguridad. Si bien el propio sistema operativo y Pixel de Google han resistido durante años las vulnerabilidades de software, el flujo interminable de aplicaciones maliciosas en Google Play y los dispositivos vulnerables de algunos fabricantes externos han empañado su imagen.

Recientemente, esa imagen se ha visto empañada aún más. Esto debido a recientes informes de que un grupo de delitos cibernéticos identificado como el “Grupo Lemon” ha preinstalado un malware conocido como “Guerrilla” en casi 9 millones de teléfonos inteligentes, relojes, televisores y TV boxes basados ​​en Android.

Los ciberdelincuentes usan Guerilla  para cargar payloads adicionales e interceptar contraseñas de un solo uso de SMS. Asimismo, para configurar un proxy inverso desde el dispositivo infectado, secuestrar sesiones de WhatsApp y más.

Según un informe de Trend Micro, cuyos analistas descubrieron la empresa criminal masiva y presentaron detalles al respecto en la reciente  conferencia BlackHat Asia, parte de la infraestructura de los atacantes se superpone con la operación del troyano Triada  de 2016.

Triada era un troyano bancario que se encontró preinstalado en 42 modelos de teléfonos inteligentes con Android  de marcas chinas de bajo costo que venden sus productos en todo el mundo.

Trend Micro dice que expusieron por primera vez a Lemon Group en febrero de 2022. Y, poco después, el grupo supuestamente cambió su nombre a “Durian Cloud SMS”. Sin embargo, la infraestructura y las tácticas de los atacantes permanecieron sin cambios.

“Si bien identificamos una serie de negocios que Lemon Group realiza para empresas de big data, marketing y publicidad, el negocio principal implica la utilización de big data. Es decir, el análisis de cantidades masivas de datos y las características correspondientes de los envíos de los fabricantes, diferentes contenidos publicitarios obtenidos de diferentes usuarios en diferentes momentos, y los datos de hardware con push de software detallado”.

Informe de Trend Micro

Implantando el malware

Trend Micro no ha explicado cómo Lemon Group infecta los dispositivos con el firmware malicioso que contiene Guerilla. No obstante, aclaró que los dispositivos examinados por sus analistas se habían vuelto a actualizar con nuevas ROM.

Los analistas identificaron más de 50 ROMs diferentes infectadas con instaladores de malware iniciales, dirigidos a varios proveedores de dispositivos Android.

“El grupo criminal ha infectado millones de dispositivos Android, principalmente teléfonos móviles, pero también relojes inteligentes, televisores inteligentes y más”. 

“La infección convierte estos dispositivos en proxies móviles, herramientas para robar y vender mensajes SMS, redes sociales y cuentas de mensajería en línea y monetización a través de anuncios y fraude de clics”.

Descripción de Trend Micro en la charla Black Hat

Las posibles formas de lograr este compromiso incluyen ataques a la cadena de suministro, software de terceros comprometido, un proceso de actualización de firmware comprometido o reclutar a personas internas en la cadena de fabricación o distribución del producto.

Trend Micro dice que inicialmente compraron un teléfono Android y extrajeron su “imagen ROM” para descubrir el firmware modificado implantado por Lemon Group.

Este dispositivo tenía una modificación en la biblioteca del sistema ‘libandroid_runtime.so’ para contener código adicional que descifra y ejecuta un archivo DEX.

El código del archivo DEX se carga en la memoria y lo ejecuta Android Runtime para activar el complemento principal utilizado por los atacantes, llamado “Sloth”, y también proporcionar su configuración, que contiene un dominio de Lemon Group para usar en las comunicaciones.

Malware Guerrilla

El complemento principal para el malware Guerrilla carga complementos adicionales que se dedican a llevar a cabo funciones específicas. Estas funciones incluyen:

• Complemento de SMS: intercepta contraseñas de un solo uso para WhatsApp, JingDong y Facebook recibidas por SMS.
• Complemento de proxy: configura un proxy inverso desde el teléfono infectado que permite a los atacantes utilizar los recursos de red de la víctima.
• Complemento de cookies: recupera las cookies de Facebook del directorio de datos de la aplicación y las extrae al servidor de comando y control (C2). También secuestra sesiones de WhatsApp para difundir mensajes no deseados desde el dispositivo comprometido.
• Complemento Splash: muestra anuncios intrusivos a las víctimas cuando utilizan aplicaciones legítimas.
• Complemento silencioso: instala APKs adicionales recibidos del servidor C2 o desinstala aplicaciones existentes según las instrucciones. La instalación y el inicio de la aplicación son “silenciosos” en el sentido de que tienen lugar en segundo plano.

Estas funciones permiten a Lemon Group establecer una estrategia de monetización diversa que podría incluir la venta de cuentas comprometidas, el secuestro de recursos de red, la oferta de servicios de instalación de aplicaciones, la generación de impresiones de anuncios fraudulentos, la oferta de servicios de proxy y los servicios de cuentas verificadas (PVA) de teléfonos. 

Impacto mundial

Trend Micro informó que Lemon Group había reclamado previamente en su sitio de oferta de servicios el control de casi nueve millones de dispositivos repartidos en 180 países. Los países más afectados incluyen Estados Unidos, México, Indonesia, Tailandia y Rusia. 

“Además, a través de nuestros datos de telemetría, confirmamos que hay millones de dispositivos infectados en todo el mundo. El grupo principal de estos dispositivos se encuentra en el sudeste asiático y Europa del Este, sin embargo, este es un problema verdaderamente global”. 

Trend Micro.

Trend Micro sugiere que el recuento real de dispositivos Android infectados con Guerrilla podría ser mayor. Sin embargo, estos dispositivos aún no se han comunicado con los servidores de comando y control de los atacantes porque todavía están esperando la compra.

Al monitorear la operación, los analistas detectaron más de 490,000 números de teléfonos móviles utilizados para generar solicitudes de contraseñas de un solo uso para servicios SMS PVA de JingDong, WhatsApp, Facebook, QQ, Line, Tinder y otras plataformas.

La identificación de más de medio millón de dispositivos comprometidos vinculados a un solo servicio ofrecido por este grupo de delitos cibernéticos significa un alcance global sustancial de sus operaciones maliciosas.

Diversos medios le preguntaron a Trend Micro dónde compraron el teléfono preinfectado, cómo se vende y qué marcas se ven afectadas, pero no obtuvieron una respuesta inmediata.