Sindicato de cibercrimen que preinfectó más de 8,9 millones de teléfonos Android

Una empresa de cibercrimen conocida como Lemon Group está aprovechando millones de teléfonos inteligentes Android preinfectados en todo el mundo para llevar a cabo sus operaciones maliciosas, lo que plantea importantes riesgos para la cadena de suministro.

"La infección convierte estos dispositivos en proxies móviles, herramientas para robar y vender mensajes SMS, redes sociales y cuentas de mensajería en línea y monetización a través de anuncios y fraude de clics", dijo la firma de ciberseguridad Trend Micro.

La actividad abarca no menos de 8,9 millones de dispositivos Android comprometidos, en particular teléfonos económicos, con la mayoría de las infecciones descubiertas en los EE.UU., México, Indonesia, Tailandia, Rusia, Sudáfrica, India, Angola, Filipinas y Argentina.

Los hallazgos fueron presentados por los investigadores Fyodor Yarochkin, Zhengyu Dong, Vladimir Kropotov y Paul Pajares en la conferencia Black Hat Asia celebrada en Singapur la semana pasada.

Al describirlo como un problema en constante evolución, la firma de ciberseguridad dijo que los actores de amenazas se están ramificando a otros dispositivos IoT basados en Android, como televisores inteligentes, cajas de TV Android, sistemas de entretenimiento e incluso relojes para niños.

Las infecciones se extienden globalmente en más de 180 países, con más de 50 marcas de dispositivos móviles comprometidos por una cepa de malware llamada Guerilla.

"Siguiendo nuestras estimaciones de la línea de tiempo, el actor de amenazas ha propagado este malware en los últimos cinco años", dijeron los investigadores. "Un compromiso en cualquier infraestructura crítica significativa con esta infección probablemente puede generar un beneficio significativo para Lemon Group a largo plazo a expensas de los usuarios legítimos".

Guerilla fue documentado por primera vez por Sophos en 2018 cuando descubrió 15 aplicaciones cargadas en Play Store que albergaban funcionalidad para participar en el fraude de clics y actuar como una puerta trasera.

El malware también atrajo la atención a principios de 2022 por su capacidad para interceptar mensajes SMS que coinciden con características predefinidas, como contraseñas de un solo uso (OTP) asociadas con varias plataformas en línea, poco después de lo cual el actor de amenazas cambió el nombre de la empresa de Lemon a Durian Cloud SMS.

El objetivo, según Trend Micro, es evitar la verificación basada en SMS y anunciar números de teléfono virtuales masivos, que pertenecen a usuarios desprevenidos de los teléfonos Android infectados, para la venta para crear cuentas en línea.


Si bien estos servicios tienen un beneficio de privacidad, ya que permiten a los usuarios suscribirse a servicios utilizando números de teléfono temporales o desechables, también se puede abusar de ellos para crear cuentas de spam a gran escala y realizar fraudes.

Los últimos hallazgos de la compañía de ciberseguridad ilustran que la función de captura de SMS es solo uno de los muchos complementos asociados con un componente de descarga (también conocido como el complemento principal) que se carga en un proceso de cigoto por medio de una biblioteca manipulada.

Vale la pena señalar que la misma técnica de modificación del proceso de cigoto también ha sido adoptada por otro troyano móvil llamado Triada.

"Con esto, cada vez que otros procesos de la aplicación se bifurcan del cigoto, también se manipularía", dijeron los investigadores. "El complemento principal cargará otros complementos con el proceso actual como objetivo, y los otros complementos intentarán controlar la aplicación actual a través de un gancho".

Cada uno de los plugins de Guerrilla cumple una función comercial particular y una oportunidad de monetización para los actores de Lemon Group. Algunos de ellos se enumeran a continuación:

• Complemento de proxy para configurar el proxy inverso desde un teléfono infectado y permitir que otros actores alquilen el acceso a los recursos de red del dispositivo móvil afectado
• Complemento de cookies para recopilar las cookies de Facebook de los usuarios y otra información de perfil
• Plugin de WhatsApp para secuestrar sesiones y enviar mensajes no deseados
• Splash plugin para publicar anuncios injustificados al iniciar ciertas aplicaciones, y
• Plugin silencioso para instalar sigilosamente un archivo APK y ejecutar la app

Una investigación adicional sobre la operación en expansión ha desentrañado las superposiciones de infraestructura de Lemon Group y Triada, lo que sugiere que los dos grupos pueden haber colaborado en algún momento.

Se cree que las modificaciones de firmware no autorizadas se han producido a través de un proveedor externo no identificado que "produce los componentes de firmware para teléfonos móviles" y que también fabrica componentes similares para Android Auto.

La revelación se produce cuando el investigador de seguridad de Microsoft, Dimitrios Valsamaras, detalló un nuevo método de ataque denominado Dirty Stream que convierte los objetivos compartidos de Android en un vector para distribuir cargas maliciosas y capturar datos confidenciales de otras aplicaciones instaladas en un dispositivo.

"El concepto es similar a una vulnerabilidad de carga de archivos de una aplicación web", dijo Valsamaras. "Más específicamente, una aplicación maliciosa utiliza un proveedor de contenido especialmente diseñado para soportar una carga útil que envía a la aplicación de destino".

"Como el remitente controla el contenido, pero también el nombre de la transmisión, el receptor puede sobrescribir archivos críticos con contenido malicioso en caso de que no realice algunas comprobaciones de seguridad necesarias. Además, cuando se aplican ciertas condiciones, el receptor también puede verse obligado a copiar archivos protegidos a un directorio público, poniendo en riesgo los datos privados del usuario.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta