Il gruppo dietro la campagna malevola è stato soprannominato Lemon Group e il malware precaricato sui dispositivi Android si chiama Guerrilla. Da allora ha cambiato nome in Durian Cloud SMS.
L’attività principale del gruppo prevede l’analisi di big data per generare opportunità di marketing per i propri clienti, ma ciò gli consente anche di monitorare i clienti che possono essere ulteriormente infettati con altre app, specifica Trend Micro.
Indice degli argomenti
Il modus operandi di Lemon Group
Secondo Trend Micro, il Lemon Group ha sviluppato un sofisticato metodo di attacco che sfrutta il malware preinstallato sui dispositivi mobili. Questo malware agisce come un downloader, che a sua volta installa e attiva una serie di plug-in che consentono al gruppo di hacker di assumere il controllo completo dei dispositivi infetti. Utilizzando questa posizione privilegiata, il Lemon Group può analizzare grandi quantità di dati personali per creare opportunità di marketing per i propri clienti. Tuttavia, questa attività li abilita a monitorare gli utenti e a infettarli ulteriormente con altre applicazioni malevole.
Tale manomissione ha coinvolto in genere dispositivi poco costosi di marchi per lo più sconosciuti e più piccoli; ma a volte anche i dispositivi appartenenti a fornitori e OEM più grandi. L’intervento di Lemon Group entra in azione nella catena produttiva e di vendita dei dispositivi: il gruppo intercetta i casi in cui le aziende esternalizzano a una terza parte la lavorazione dell’installazione software; cercando di aggiungere funzionalità aggiuntive a un’immagine di sistema Android standard.
Tra le attività dannose svolte con questa compromissione evidenziamo l’utilizzo di SMS temporanei sugli smartphone, i codici OTP che si possono utilizzare per verificare l’identità presso un servizio terzo, malintenzionati come Lemon Group li utilizzano per consentire ai clienti di registrare in massa account spam, creare falsi account di social media e altre attività dannose. La gestione delle risorse del dispositivo. Un plugin di Guerrilla “affitta”, nel vero senso del termine, le risorse di uno smartphone infetto, ad altri clienti che le acquistano per potenziare il proprio servizio. Un plug-in WhatsApp dirotta le sessioni dell’istant messagging di un utente per inviare messaggi indesiderati.
Le implicazioni per la sicurezza
La scoperta del malware Guerrilla/Durian Cloud SMS solleva gravi preoccupazioni per la sicurezza dei dispositivi mobili in tutto il mondo. I dispositivi infetti dal malware potrebbero essere sfruttati per scopi malevoli, come il furto di dati personali, l’accesso non autorizzato ai conti bancari o persino il controllo remoto dei dispositivi.
Inoltre, il Lemon Group ha dimostrato una capacità notevole di propagare il proprio malware e infettare altri dispositivi, aumentando così il numero di vittime potenziali.
Al momento, si contano circa 9 milioni di dispositivi in tutto il mondo affetti da questo problema, ma i ricercatori stimano che possano essere molti di più considerando quelli non documentati.
