Une grande entreprise de cybercriminalité connue sous le nom de « Lemon Group » aurait préinstallé un logiciel malveillant connu sous le nom de « Guerilla » sur près de 9 millions de smartphones, montres, téléviseurs et boîtiers de télévision basés sur Android.
Les acteurs de la menace utilisent Guerilla pour charger des charges utiles supplémentaires, intercepter des mots de passe à usage unique à partir de SMS, configurer un proxy inverse à partir de l’appareil infecté, détourner des sessions WhatsApp, etc.
Selon un rapport de Trend Micro, dont les analystes ont découvert l’entreprise criminelle massive et en ont présenté les détails lors de la récente conférence BlackHat Asia, certaines des infrastructures des attaquants chevauchent l’opération de cheval de Troie Triada à partir de 2016.
Triada était un cheval de Troie bancaire préinstallé dans 42 modèles de smartphones Android de marques chinoises à bas prix qui vendent leurs produits dans le monde entier.
Trend Micro dit avoir exposé le groupe Lemon pour la première fois en février 2022, et peu de temps après, le groupe aurait été renommé sous le nom de « Durian Cloud SMS ». Cependant, l’infrastructure et les tactiques des attaquants sont restées inchangées.
« Bien que nous ayons identifié un certain nombre d’activités que Lemon Group réalise pour les grandes sociétés de données, de marketing et de publicité, l’activité principale implique l’utilisation des mégadonnées : analyser des quantités massives de données et les caractéristiques correspondantes des expéditions des fabricants, différents contenus publicitaires obtenus de différents utilisateurs à différents moments, et les données matérielles avec une poussée logicielle détaillée », explique le rapport de Trend Micro.
Implantation du malware
Trend Micro n’a pas précisé comment Lemon Group infecte les appareils avec le micrologiciel malveillant contenant Guerilla, mais a précisé que les appareils que ses analystes ont examinés avaient été re-flashés avec de nouvelles ROM.
Les analystes ont identifié plus de 50 ROM différentes infectées par des chargeurs de logiciels malveillants initiaux, ciblant divers fournisseurs d’appareils Android.
« Le groupe criminel a infecté des millions d’appareils Android, principalement des téléphones portables, mais aussi des montres intelligentes, des téléviseurs intelligents et plus encore », lit-on dans la description du discours Black Hat de Trend Micro.
« L’infection transforme ces appareils en proxys mobiles, en outils de vol et de vente de SMS, en comptes de réseaux sociaux et de messagerie en ligne et en monétisation via des publicités et la fraude au clic. »
Les moyens possibles d’atteindre ce compromis incluent les attaques de la chaîne d’approvisionnement, les logiciels tiers compromis, un processus de mise à jour du micrologiciel compromis ou l’enrôlement d’initiés dans la chaîne de fabrication ou de distribution du produit.
Trend Micro dit avoir initialement acheté un téléphone Android et extrait son « image ROM » pour découvrir le firmware modifié implanté par Lemon Group.
Cet appareil avait une modification sur la bibliothèque système ‘libandroid_runtime.so’ pour contenir du code supplémentaire qui déchiffrerait et exécuterait un fichier DEX.
Le code du fichier DEX est chargé en mémoire et exécuté par Android Runtime pour activer le plugin principal utilisé par les attaquants, appelé « Sloth », et également fournir sa configuration, qui contient un domaine Lemon Group à utiliser pour les communications.
Le malware Guerrilla
Le plug-in principal du malware Guerrilla charge des plug-ins supplémentaires dédiés à l’exécution de fonctionnalités spécifiques, notamment :
- Plugin SMS : Intercepte les mots de passe à usage unique pour WhatsApp, JingDong et Facebook reçus par SMS.
- Proxy Plugin : configure un proxy inverse à partir du téléphone infecté permettant aux attaquants d’utiliser les ressources réseau de la victime.
- Plugin Cookie : vide les cookies Facebook du répertoire de données de l’application et les exfiltre vers le serveur C2. Il détourne également les sessions WhatsApp pour diffuser des messages indésirables à partir de l’appareil compromis.
- Splash Plugin : Affiche des publicités intrusives aux victimes lorsqu’elles utilisent des applications légitimes.
- Plugin silencieux : installe les fichiers APK supplémentaires reçus du serveur C2 ou désinstalle les applications existantes selon les instructions. L’installation et le lancement de l’application sont « silencieux » dans le sens où ils se déroulent en arrière-plan.
Ces fonctions permettent au groupe Lemon d’établir une stratégie de monétisation diversifiée qui pourrait inclure la vente de comptes compromis, le détournement de ressources réseau, l’offre de services d’installation d’applications, la génération d’impressions publicitaires frauduleuses, l’offre de services proxy et les services de comptes vérifiés par téléphone SMS (PVA).
Impact mondial
Trend Micro rapporte que Lemon Group avait précédemment revendiqué sur son site d’offre de services le contrôle de près de neuf millions d’appareils répartis dans 180 pays. Les pays les plus touchés sont les États-Unis, le Mexique, l’Indonésie, la Thaïlande et la Russie.
« En outre, grâce à nos données de télémétrie, nous avons confirmé qu’il existe des millions d’appareils infectés exploités dans le monde. Le principal groupe de ces appareils se trouve en Asie du Sud-Est et en Europe de l’Est, cependant, il s’agit d’un problème véritablement mondial », a déclaré Trend Micro.
Trend Micro suggère que le nombre réel d’appareils Android infectés par Guerrilla pourrait être plus élevé. Cependant, ces appareils n’ont pas encore communiqué avec les serveurs de commande et de contrôle des attaquants car ils sont toujours en attente d’achat.
En surveillant l’opération, les analystes ont détecté plus de 490 000 numéros mobiles utilisés pour générer des demandes de mot de passe uniques pour les services SMS PVA de JingDong, WhatsApp, Facebook, QQ, Line, Tinder et d’autres plateformes.
L’identification de plus d’un demi-million d’appareils compromis liés à un seul service offert par ce syndicat de la cybercriminalité signifie une portée mondiale substantielle de leurs opérations malveillantes.
Breachtrace a demandé à Trend Micro où ils avaient acheté le téléphone pré-infecté, comment il était vendu et quelles marques étaient concernées, mais aucune réponse n’était disponible dans l’immédiat.