Lemon Group utilizza milioni di telefoni Android pre-infetti per abilitare la lotta alla criminalità informatica

Milioni di utenti di telefoni Android in tutto il mondo contribuiscono ogni giorno al benessere finanziario di un'azienda chiamata Lemon Group, semplicemente perché possiedono i dispositivi.

A insaputa di quegli utenti, gli operatori del Lemon Group hanno pre-infettato i loro dispositivi prima ancora che li acquistassero. Ora, stanno silenziosamente usando i loro telefoni come strumenti per rubare e vendere messaggi SMS e password monouso (OTP), servire annunci indesiderati, impostare account di messaggistica online e social media e altri scopi.

Lo stesso Lemon Group ha dichiarato di avere una base di quasi 9 milioni di dispositivi Android infettati da Guerrilla di cui i suoi clienti possono abusare in diversi modi. Ma Trend Micro ritiene che il numero effettivo possa essere persino più alto.

Creare un'attività su dispositivi infetti

Lemon Group è uno dei tanti gruppi di criminali informatici che negli ultimi anni hanno costruito modelli di business redditizi attorno ai dispositivi Android pre-infettati.

I ricercatori di Trend Micro hanno iniziato a svelare l'operazione quando hanno eseguito un'analisi forense sull'immagine ROM di un dispositivo Android infettato da un malware denominato “Guerrilla”. La loro indagine ha mostrato che il gruppo ha infettato dispositivi appartenenti a utenti Android in 180 paesi. Oltre il 55% delle vittime si trova in Asia, circa il 17% in Nord America e quasi il 10% in Africa. Trend Micro è stata in grado di identificare oltre 50 marchi di dispositivi mobili, per lo più poco costosi.

In una presentazione al Black Hat Asia 2023 appena concluso, e in un post del blog questa settimanai ricercatori di Trend Micro Fyodor Yarochkin, Zhengyu Dong e Paul Pajares hanno condiviso le loro intuizioni sulla minaccia che organizzazioni come Lemon Group rappresentano per gli utenti Android. L'hanno descritta come un problema in continua crescita che ha iniziato a toccare non solo gli utenti di telefoni Android, ma anche i proprietari di Smart TV AndroidTV box, sistemi di intrattenimento basati su Android e persino orologi per bambini basati su Android.

“Secondo le nostre stime cronologiche, l'attore della minaccia ha diffuso questo malware negli ultimi cinque anni”, hanno affermato i ricercatori. “Un compromesso su qualsiasi infrastruttura critica significativa con questa infezione può probabilmente produrre un profitto significativo per Lemon Group a lungo termine a spese degli utenti legittimi”.

Un problema di infezione da malware vecchio ma in continua evoluzione

Il problema dei telefoni Android spediti con malware preinstallato non è certo una novità. Numerosi vendor di sicurezza, tra cui Trend Micro, Kaspersky e Google, hanno segnalato nel corso degli anni l'introduzione di applicazioni potenzialmente dannose a livello di firmware sui dispositivi Android da parte di malintenzionati.

In molti casi, la manomissione è avvenuta quando un OEM Android, che cercava di aggiungere funzionalità aggiuntive a un'immagine di sistema Android standard, ha esternalizzato l'attività a una terza parte. In alcuni casi, i malintenzionati sono anche riusciti a introdurre di nascosto applicazioni e malware potenzialmente dannosi tramite aggiornamenti firmware over-the-air (FOTA). Qualche anno fa, la maggior parte dei malware trovati preinstallati sui dispositivi Android erano ladri di informazioni e server pubblicitari.

In genere, tali manomissioni hanno coinvolto dispositivi poco costosi, per lo più di marchi sconosciuti e più piccoli. Ma a volte, anche dispositivi appartenenti a venditori più grandi e OEM sono stati colpiti. Nel 2017, ad esempio, Check Point ha segnalato di aver trovato fino a 37 modelli di dispositivi Android da una grande multinazionale di telecomunicazioni, preinstallato con tale malware. L'autore della minaccia dietro il furto ha aggiunto sei dei campioni di malware alla ROM del dispositivo in modo che l'utente non potesse rimuoverli senza riprogrammare i dispositivi.

Il malware preinstallato diventa più pericoloso

Negli ultimi anni, alcuni malware preinstallati sui dispositivi Android sono diventati molto più pericolosi. L'esempio migliore è Triada, un Trojan che ha modificato il processo principale Zygote nel sistema operativo Android. Sostituiva attivamente i file di sistema e operava principalmente nella RAM del sistema, rendendolo molto difficile da rilevare. Gli autori delle minacce dietro il malware lo utilizzavano, tra le altre cose, per intercettare messaggi SMS in entrata e in uscita per codici di verifica delle transazioni, visualizzare annunci indesiderati e manipolare i risultati di ricerca.

La ricerca di Trend Micro sulla campagna malware Guerrilla ha mostrato sovrapposizioni, ad esempio nell'infrastruttura di comando e controllo e nelle comunicazioni, tra le operazioni di Lemon Group e quelle di Triada. Ad esempio, Trend Micro ha scoperto che l'impianto di Lemon Group manometteva il processo Zygote e diventava essenzialmente parte di ogni app su un dispositivo compromesso. Inoltre, il malware è costituito da un plugin principale che carica molti altri plugin, ognuno con uno scopo molto specifico. Tra questi, uno progettato per intercettare i messaggi SMS e leggere le OTP da piattaforme come WhatsApp, Facebook e un'app per lo shopping chiamata JingDong.

Plugin per diverse attività dannose

Un plugin è un componente cruciale di un servizio SMS phone verified account (SMS PVA) che Lemon Group gestisce per i suoi clienti. I servizi SMS PVA forniscono fondamentalmente agli utenti numeri di telefono temporanei o usa e getta che possono utilizzare per la verifica del numero di telefono quando si registrano per un servizio online, ad esempio, e per ricevere l'autenticazione a due fattori e password monouso per l'autenticazione successiva. Mentre alcuni utilizzano tali servizi per motivi di privacy, gli attori delle minacce come Lemon Group li utilizzano per consentire ai clienti di registrare in blocco account spam, creare falsi account di social media e altre attività dannose.

Un altro plugin Guerrilla consente a Lemon Group di affittare sostanzialmente le risorse di un telefono infetto per brevi periodi ai clienti; un plugin cookie si aggancia alle app correlate a Facebook sui dispositivi dell'utente per usi correlati alle frodi pubblicitarie; e un plugin WhatsApp dirotta le sessioni WhatsApp di un utente per inviare messaggi indesiderati. Un altro plugin consente l'installazione silenziosa di app che richiederebbero l'autorizzazione di installazione per attività specifiche.

“Abbiamo identificato alcune di queste attività utilizzate per diverse tecniche di monetizzazione, come il caricamento pesante di annunci pubblicitari tramite plugin silenziosi inviati a telefoni infetti, annunci di smart TV e app di Google Play con annunci pubblicitari nascosti”, secondo l'analisi di Trend Micro. “Riteniamo che le operazioni dell'attore della minaccia possano anche essere un caso di furto di informazioni dal dispositivo infetto da utilizzare per la raccolta di big data prima di venderle ad altri attori della minaccia come un altro schema di monetizzazione post-infezione”.