I ricercatori di Trend Micro hanno scoperto che il Lemon Group nasconde Guerrilla nei firmare di dispositivi Android, smart TV e box Android TV. Il malware ha un’architettura multi-plugin che permettono di eseguire diverse attività. L’infrastruttura del backend è simile a quella del trojan bancario Triada, quindi i due gruppi lavorano insieme.
Guerrilla ha infettato 9 milioni di dispositivi
Gli esperti di Trend Micro non spiegano come il malware è stato installato, ma hanno scoperto oltre 50 ROM infettate con un loader che può scaricare altri malware. Lemon Group (oggi si chiama Duran Cloud SMS) viene definita come un’azienda criminale che opera nel settore dei big data.
Probabilmente l’installazione delle ROM modificate avviene tramite attacchi supply chain, software di terze parti o insider nella catena produttiva. Guerrilla trasforma gli smartphone in proxy mobile, tool per il furto degli SMS e la vendita di account dei social media. Consente anche di avviare frodi attraverso campagne di advertising.
Nella ROM è presente un plugin principale che scarica gli altri plugin e avvia la comunicazione con il server C&C (command and control). I singoli plugin eseguono attività specifiche: furto di SMS e codici OTP, attivazione di un reverse proxy, furto dei cookie di Facebook, accesso a WhatsApp, visualizzazione di pubblicità e installazione di APK ricevuti dal server C&C.
Trend Micro stima che sono stati infettati quasi 9 milioni di dispositivi nel mondo (principalmente negli Stati Uniti). Quasi tutti sono smartphone Android, ma Guerrilla è stato trovato anche in smart TV, box Android TV e smartwatch Android.