Milioni di dispositivi Android contengono già malware prima che il consumatore lo riceva. Un collettivo di criminali informatici che opera sotto il nome di “Lemon Group” utilizza dispositivi infetti per varie attività criminali. Con il cosiddetto malware Guerrilla, le possibilità di criminalità sono enormi.
La scorsa settimana abbiamo già segnalato una situazione simile in cui milioni di smartphone sono stati infettati da una parte nel processo di produzione. Ancora una volta, questa è una ricerca di Trend Micro che evidenzia il problema del malware.
Leggi anche: Milioni di telefoni sono già stati infettati da malware pronti all’uso
Si dice che la maggior parte dei dispositivi infetti si trovi in Asia (55%), sebbene anche le Americhe insieme rappresentino una quota elevata (rispettivamente 17 e 14%). Riguarda principalmente attrezzature economiche. Una possibile spiegazione di ciò è che i produttori di dispositivi a basso costo possono mantenere i prezzi così bassi solo tagliando irragionevolmente i loro costi. Ciò consente a un’organizzazione criminale di segnalare come fornitore legittimo da qualche parte nel processo di produzione, ad esempio per installare il firmware.
Malware di guerriglia
Guerrilla è stato effettivamente scoperto nel 2018 dalla società di sicurezza Sophos. Il malware consente a un dispositivo Android di connettersi a un server del centro di comando e controllo attraverso una backdoor. In origine, doveva essere un plug-in che fa clic automaticamente sugli annunci sul telefono dell’utente interessato (adclicker in breve). In questo modo, genera reddito per l’organizzazione criminale. Tuttavia, poiché Guerrilla può ricevere un aggiornamento remoto, le sue capacità si sono ampliate dal 2018.
La funzionalità specifica del malware Guerrilla ora varia in base al dispositivo, a seconda di ciò che vogliono i criminali. I plug-in SMS possono intercettare password monouso per WhatsApp e altre applicazioni di comunicazione. L’accesso proxy può sottrarre larghezza di banda all’utente. In questo caso, il collegamento può essere effettuato per “proxy jacking”, scambiando l’accesso a Internet rubato.
Altre possibilità sono l’utilizzo di un plug-in dei cookie che dirotta gli account Facebook o WhatsApp per inviare messaggi dannosi. Secondo Trend Micro, tutte queste opzioni hanno consentito a Lemon Group di creare un modello di entrate diversificato. A parte i profitti ottenuti illegalmente, il malware può anche essere un problema per gli utenti legittimi. Pensa di associare erroneamente un’attività criminale con l’indirizzo IP di un utente Android ignaro o di rendere sospettoso un utente di WhatsApp tramite messaggi inviati illegalmente.
Non convincente
Trend Micro ha rilevato un firmware personalizzato nel tuo telefono Android. L’immagine ROM mostrava che qualcosa non andava bene. La libreria “libandroid_runtime.so” conteneva codice di scripting aggiuntivo per eseguire il file DEX. Ogni app Android li include per chiamare le librerie Java che utilizza.
I ricercatori di Trend Micro avevano già smascherato il Lemon Group nel febbraio 2022, dopodiché i criminali si sono ribattezzati “Durian Cloud SMS”. Non menzionano esattamente come il malware finisce sui dispositivi, ma a che tipo di apparecchiatura è correlato. Oltre agli smartphone, gli aggressori installano malware anche su smartwatch, smart TV e altro ancora. Poiché Android funziona su una grande varietà di dispositivi e sempre più “dispositivi intelligenti” finiscono nelle case, il malware può potenzialmente essere installato praticamente ovunque (purché sia in esecuzione su Android). Con un partito come Samsung che attualmente costruisce frigoriferi con una variante Android modificata, solo l’immaginazione limita dove può rivelarsi il malware. Tuttavia, in questo caso specifico, si tratta di un prodotto in una fascia di prezzo più alta, e possiamo aspettarci che un marchio come Samsung abbia un controllo migliore sulla catena di fornitura.