Logotipo de Zephyrnet

Inteligencia de datos generativa

Ciberseguridad

Lemon Group utiliza millones de teléfonos Android preinfectados para habilitar la empresa de ciberdelincuencia

Reeditado por Platón
Reeditado por Platón

Fecha:

Vistas: 134

Millones de usuarios de teléfonos Android en todo el mundo contribuyen diariamente al bienestar financiero de un equipo llamado Lemon Group, simplemente por el hecho de poseer los dispositivos.

Sin el conocimiento de esos usuarios, los operadores de Lemon Group han preinfectado sus dispositivos incluso antes de comprarlos. Ahora, están utilizando silenciosamente sus teléfonos como herramientas para robar y vender mensajes SMS y contraseñas de un solo uso (OTP), publicar anuncios no deseados, configurar mensajes en línea y cuentas de redes sociales y otros fines.

Lemon Group ha afirmado que tiene una base de casi 9 millones de dispositivos Android infectados por Guerrilla de los que sus clientes pueden abusar de diferentes maneras. Pero Trend Micro cree que el número real puede ser aún mayor.

Construyendo un negocio en dispositivos infectados

Lemon Group se encuentra entre varios grupos de ciberdelincuentes que han creado modelos comerciales rentables en torno a dispositivos Android preinfectados en los últimos años.

Los investigadores de Trend Micro comenzaron a desentrañar la operación al realizar un análisis forense en la imagen ROM de un dispositivo Android infectado con el malware denominado "Guerrilla". Su investigación mostró que el grupo ha infectado dispositivos pertenecientes a usuarios de Android en 180 países. Más del 55% de las víctimas se encuentran en Asia, un 17% en América del Norte y casi un 10% en África. Trend Micro pudo identificar más de 50 marcas de dispositivos móviles, en su mayoría económicos.

En una presentación en el recién concluido Black Hat Asia 2023, y en un entrada de blog esta semana, los investigadores de Trend Micro Fyodor Yarochkin, Zhengyu Dong y Paul Pajares compartieron sus ideas sobre la amenaza que representan equipos como Lemon Group para los usuarios de Android. Lo describieron como un problema en continuo crecimiento que ha comenzado a afectar no solo a los usuarios de teléfonos Android sino también a los propietarios de Televisores inteligentes Android, cajas de TV, sistemas de entretenimiento basados ​​en Android e incluso relojes para niños basados ​​en Android.

“Siguiendo nuestras estimaciones de línea de tiempo, el actor de amenazas ha propagado este malware en los últimos cinco años”, dijeron los investigadores. “Un compromiso en cualquier infraestructura crítica significativa con esta infección probablemente puede generar una ganancia significativa para Lemon Group a largo plazo a expensas de los usuarios legítimos”.

Un problema de infección de malware antiguo pero en evolución

El problema de los teléfonos Android que se envían con malware preinstalado ciertamente no es nuevo. Numerosos proveedores de seguridad, incluidos Trend Micro, Kaspersky y Google, han informado a lo largo de los años sobre malos actores que introducen aplicaciones potencialmente dañinas en la capa de firmware de los dispositivos Android.

En muchos casos, la manipulación ocurrió cuando un OEM de Android, que buscaba agregar funciones adicionales a una imagen estándar del sistema Android, subcontrató la tarea a un tercero. En algunos casos, los malos actores también han logrado colarse en aplicaciones potencialmente dañinas y malware a través de actualizaciones de firmware por aire (FOTA). Hace unos años, la mayoría del malware que se encontraba preinstalado en los dispositivos Android eran ladrones de información y servidores de anuncios.

Por lo general, dicha manipulación ha involucrado dispositivos económicos de marcas en su mayoría desconocidas y más pequeñas. Pero en ocasiones, los dispositivos pertenecientes a proveedores más grandes y OEM también se han visto afectados. En 2017, por ejemplo, Check Point informó haber encontrado hasta 37 modelos de dispositivos Android de una gran empresa multinacional de telecomunicaciones, preinstalado con dicho malware. El actor de amenazas detrás de la trampa agregó seis de las muestras de malware a la ROM del dispositivo para que el usuario no pudiera eliminarlas sin volver a actualizar los dispositivos.

El malware preinstalado se vuelve más peligroso

En los últimos años, algunos de los programas maliciosos que se encuentran preinstalados en los dispositivos Android se han vuelto mucho más peligrosos. El mejor ejemplo es Triada, una Troyano que modificaba el proceso central de Zygote en el sistema operativo Androida. También sustituía activamente los archivos del sistema y funcionaba principalmente en la memoria RAM del sistema, lo que lo hacía muy difícil de detectar. Los actores de amenazas detrás del malware lo usaron, entre otras cosas, para interceptar mensajes SMS entrantes y salientes para obtener códigos de verificación de transacciones, mostrar anuncios no deseados y manipular los resultados de búsqueda.

La investigación de Trend Micro en la campaña de malware Guerrilla mostró superposiciones (por ejemplo, en la infraestructura de comando y control y las comunicaciones) entre las operaciones de Lemon Group y las de Triada. Por ejemplo, Trend Micro descubrió que el implante Lemon Group manipulaba el proceso Zygote y se convertía esencialmente en parte de cada aplicación en un dispositivo comprometido. Además, el malware consiste en un complemento principal que carga muchos otros complementos, cada uno con un propósito muy específico. Entre ellos se incluye uno diseñado para interceptar mensajes SMS y leer OTP de plataformas como WhatsApp, Facebook y una aplicación de compras llamada JingDong.

Complementos para diferentes actividades maliciosas

Un complemento es un componente crucial de un servicio de cuenta verificada de teléfono SMS (SMS PVA) que Lemon Group opera para sus clientes. Los servicios SMS PVA básicamente brindan a los usuarios números de teléfono temporales o desechables que pueden usar para verificar el número de teléfono cuando se registran para un servicio en línea, por ejemplo, y para recibir autenticación de dos factores y contraseñas de un solo uso para autenticarse más tarde. Si bien algunos usan dichos servicios por razones de privacidad, los actores de amenazas como Lemon Group los usan para permitir que los clientes registren cuentas de spam de forma masiva, creen cuentas de redes sociales falsas y otras actividades maliciosas.

Otro complemento de Guerrilla permite que Lemon Group esencialmente alquile los recursos de un teléfono infectado por períodos cortos a los clientes; un complemento de cookies se conecta a aplicaciones relacionadas con Facebook en los dispositivos del usuario para usos relacionados con el fraude publicitario; y un complemento de WhatsApp secuestra las sesiones de WhatsApp de un usuario para enviar mensajes no deseados. Otro complemento permite la instalación silenciosa de aplicaciones que requieren permiso de instalación para actividades específicas.

"Identificamos algunas de estas empresas que se utilizan para diferentes técnicas de monetización, como la carga pesada de anuncios que utilizan los complementos silenciosos que se envían a los teléfonos infectados, los anuncios de televisión inteligente y las aplicaciones de Google Play con anuncios ocultos", según el análisis de Trend Micro. "Creemos que las operaciones del actor de amenazas también pueden ser un caso de robo de información del dispositivo infectado para usarla en la recopilación de grandes datos antes de venderla a otros actores de amenazas como otro esquema de monetización posterior a la infección".

punto_img

Información más reciente

punto_img

Derechos de autor @ 2024 Plato Technologies Inc.