Uma grande empresa de cibercrime conhecida como "Lemon Group" teria pré-instalado malware conhecido como "Guerilla" em quase 9 milhões de smartphones, relógios, TVs e caixas de TV baseados em Android.
Os criminosos usam o Guerilla para carregar payloads adicionais, interceptar senhas únicas por SMS, configurar um proxy reverso a partir do dispositivo infectado, sequestrar sessões do WhatsApp e muito mais.
A Trend Micro descobriu a Lemon Group em fevereiro de 2022 e apresentou detalhes sobre a operação na conferência BlackHat Asia.
Algumas das infraestruturas dos atacantes se sobrepõem com a operação Trojan Triada de 2016.
A Trend Micro identificou mais de 50 ROMs diferentes infectadas com carregadores de malware iniciais, direcionados a vários fornecedores de dispositivos Android.
Eles acreditam que a Lemon Group infectou milhões de dispositivos Android, principalmente telefones móveis, mas também relógios inteligentes, smart TVs e mais.
A empresa usa os dispositivos infectados como proxies móveis para roubar e vender mensagens SMS, contas de mídia social e mensagens online e monetizar por meio de anúncios e fraudes por cliques.
A Trend Micro não explicou como a Lemon Group infecta os dispositivos com o firmware malicioso contendo o Guerilla, mas esclareceu que os dispositivos examinados por seus analistas haviam sido reprogramados com novas ROMs.
Possíveis maneiras de alcançar esse comprometimento incluem ataques à cadeia de suprimentos, software de terceiros comprometido, processo de atualização de firmware comprometido ou recrutamento de insiders na fabricação ou cadeia de distribuição de produtos.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...