De Guerrilla-malware is gericht bijna 9 miljoen Android-apparaten wereldwijd, waaronder smartphones, horloges, tv’s en tv-boxen. De malware wordt verspreid door Lemon Group, een van de meest beruchte cybercriminaliteitsorganisaties.
Gadgets lopen altijd het risico geïnfecteerd te raken met malware, en af en toe horen we over een nieuwe malware die zich richt op gebruikers. Onlangs waarschuwden McAfee-onderzoekers gebruikers om 38 Android-games zo snel mogelijk te verwijderen omdat ze op de achtergrond advertenties vertoonden. Nu heeft de BlackHat Asia-conferentie in Singapore de impact van Guerrilla-malware geïllustreerd.
De Guerrilla-malware is ontwikkeld door Lemon Group en heeft 8,9 miljoen Android-gebruikers getroffen. De malware wordt voornamelijk gebruikt voor het onderscheppen van eenmalige wachtwoorden van sms, het laden van extra payloads, het instellen van een reverse proxy vanaf het geïnfecteerde apparaat, het kapen van WhatsApp-sessies, enz.
Guerrilla-malware richt zich op bijna 9 miljoen Android-gebruikers wereldwijd
Het rapport vervolgt dat Guerrilla-malware het op gebruikers van alle continenten heeft gemunt. De top 10 getroffen landen zijn echter India, Argentinië, Angola, Indonesië, Mexico, de Filippijnen, Rusland, Zuid-Afrika, Thailand en de VS.
Bovendien zijn een deel van de infrastructuur en methoden die voor deze aanval zijn gebruikt komen overeen met de Triada trojan-operatie, die plaatsvond in 2016 en gericht was op 42 Android-telefoonmodellen. De aanval zou opnieuw zijn gedaan door Lemon Group. Deze groep veranderde later zijn naam in Durian Cloud SMS, maar de methoden en architectuur bleven ongewijzigd.
De outlet zegt dat Guerrilla-malware is gevonden op 50 verschillende ROM’s die opnieuw zijn geflashed. De malware richt zich ook op verschillende fabrikanten van Android-apparaten.
De manier waarop Guerrilla-malware werkt, is eenvoudig maar lastig. Het installeert eerst extra plug-ins op apparaten. Elke plug-in voert een bepaalde taak uit, zoals het onderscheppen van wachtwoorden die via sms worden verzonden, het opzetten van een reverse proxy of het installeren van extra applicaties.
Door de apparaten van slachtoffers te infecteren, kan Lemon Group tonnen geld verdienen door advertenties te vervalsen, netwerkbronnen, het verkopen van gecompromitteerde accounts, het verkopen van proxyservices en het aanbieden van SMS Phone Verified Accounts (PVA)-services.
