Miljoenen Android-apparaten bevatten al malware voordat een consument ze in handen heeft. Een cybercrime-collectief dat onder de naam “Lemon Group” opereert, gebruikt de geïnfecteerde hardware voor allerlei criminele activiteiten. Met de zogeheten Guerrilla-malware zijn de mogelijkheden voor misdaad enorm.
Vorige week berichtten we al over een soortgelijke situatie waarbij miljoenen smartphones door een partij in het productieproces geïnfecteerd worden. Wederom gaat het hier om Trend Micro-onderzoek dat het malware-probleem uitlicht.
Lees ook: Miljoenen telefoons al in de verpakking geïnfecteerd door malware
Het merendeel van de geïnfecteerde apparaten zouden zich in Azië bevinden (55 procent), hoewel Noord- en Zuid-Amerika samen ook een aanzienlijk deel voor hun rekening nemen (respectievelijk 17 en 14 procent). Het zou met name gaan om goedkope apparatuur. Een mogelijke verklaring hiervoor is dat de producenten van goedkope hardware hun bodemprijzen alleen kunnen aanhouden door hun kosten onredelijk hard te drukken. Hierdoor kan een criminele organisatie zich ergens in het productieproces melden als een legitieme aanbieder, bijvoorbeeld voor het installeren van firmware.
Guerrilla-malware
Guerrilla werd al in 2018 ontdekt door securityfirma Sophos. De malware zorgt ervoor dat het Android-apparaat middels een backdoor kan communiceren met een ‘command & control center’ server. Oorspronkelijk zou het gaan om een plugin die automatisch advertenties aanklikt op de telefoon van de getroffen gebruiker (kortweg een ‘adclicker’). Op die manier genereerde het inkomsten voor de criminele organisatie. Omdat Guerrilla op afstand een update kan ontvangen, zijn de mogelijkheden echter sinds 2018 uitgebreid.
De specifieke functies van de Guerrilla-malware verschillen inmiddels per apparaat, afhankelijk van wat de criminelen willen. Plugins voor sms’jes kunnen eenmalige wachtwoorden voor WhatsApp en andere communicatie-apps onderscheppen. de proxy-plogin kan bandbreedte van de gebruiker stelen. In dit geval is de link te leggen naar ‘proxyjacking’, waarbij de gestolen internettoegang verhandeld wordt.
Andere mogelijkheden zijn de inzet van een cookie-plugin, die Facebook- of WhatsApp-accounts kaapt om malafide boodschappen te versturen. Volgens Trend Micro stonden al deze opties Lemon Group toe om een divers verdienmodel op poten te zetten. Afgezien van de illegaal verkregen omzet kan de malware kopzorgen geven aan legitieme gebruikers. Denk aan het onterecht verbinden van criminele activiteit met een IP-adres van een nietsvermoedende Android-gebruiker of het verdacht maken van een WhatsApp-gebruiker door de illegaal verstuurde berichten.
Ontmaskerd
Trend Micro ontdekte de aangepaste firmware in een Android-telefoon. Op de ROM-image was te zien dat er iets niet helemaal klopte. De ‘libandroid_runtime.so’-library bevatte extra programmeercode om een DEX-bestand te starten. Elke Android-applicatie bevat deze om de Java-libraries op te roepen waar het gebruik van maakt.
De onderzoekers van Trend Micro hadden Lemon Group al ontmaskerd in februari 2022, waarna de criminelen zichzelf hernoemden naar “Durian Cloud SMS”. Men meldt niet hoe de malware precies op de hardware belandt, maar wel om wat voor apparatuur het gaat. Naast smartphones installeren de kwaadwillenden ook malware op smartwatches, smart-tv’s en meer. Aangezien Android zich op een gigantische variëteit aan apparaten bevindt en steeds meer ‘smart devices’ in huizen belanden, zou de malware in potentie praktisch overal geïnstalleerd kunnen worden (zolang het maar op Android draait). Aangezien een partij als Samsung momenteel zelfs koelkasten bouwt met een aangepaste Android-variant, is het slechts de verbeelding die beperkt waar je malware kunt zien verschijnen. Echter gaat het in dat specifieke geval om een product in een hoog prijssegment, en mogen we toch wel verwachten dat een merk als Samsung een veel betere grip op de leveringsketen heeft.
9 uur geleden
