Angola entre os principais destinos de dispositivos pré-infectados com malware “Guerrila”

ONU adopta tratado histórico sobre crimes cibernéticos

O grupo de cibercriminosos “Lemon Group” tem em andamento uma operação silenciosa e global que visa roubar e vender mensagens telefónicas e contas de redes sociais como Facebook e WhatsApp, para monetização através de anúncios e cliques fraudulentos. O esquema, exposto num relatório recente da Trend Micro, envolve milhões de dispositivos espalhados por 180 países, com Angola surgindo entre os 10 países mais afectados.

Segundo o relatório, trata-se de um esquema que infecta dispositivos Android (telemóveis, TVs e relógios inteligentes, entre outros) com firmware malicioso denominado “Guerrila” antes mesmo destes chegarem às mãos dos utilizadores. Esta prática tem crescido sobretudo com a terceirização do processo de produção dos dispositivos por parte das fabricantes, visto que, sublinha o documento, uma cadeia de suprimentos de fabricação terceirizada pode ser facilmente infiltrada por agentes de ameaças terceirizados.

Explicando a actuação do malware

Angola entre os principais destinos de dispositivos pré-infectados com malware "Guerrila"Biblioteca do sistema adulterada carregando o plugin principal do malware “Guerrila”- Créditos: Trend Micro

new_cognito

A Trend Micro não detalhou como o grupo de cibercriminosos infecta os dispositivos, mas explicou que os investigadores extraíram 50 “imagem ROM” de 50 dispositivos Android, para analisar os firmwares modificados implantados pelo “Lemon Group”. Segundo os investigadores, os dispositivos receberam uma modificação na biblioteca do sistema ‘libandroid_runtime.so’ para conter um código adicional que descriptografa e executa um arquivo “DEX”.

O código do arquivo “DEX” é carregado na memória e executado pelo “Android Runtime” para activar o principal plugin utilizado pelos atacantes, chamado “Sloth”, e também fornecer a sua configuração, que contém um domínio Lemon Group para ser usado nas comunicações. O plug-in principal do malware “Guerrilla” carrega plug-ins adicionais dedicados à execução de funcionalidades específicas, incluindo:

Plug-in SMS: intercepta senhas únicas para WhatsApp, JingDong e Facebook recebidas via SMS;

Proxy Plugin: configura um proxy reverso do telemóvel infectado, permitindo que os atacantes utilizem os recursos de rede da vítima;

new_cognito

Cookie Plugin: retira os cookies do Facebook do diretório de dados do aplicativo e exfiltra-os para o servidor C2. Este plug-in também sequestra as sessões do WhatsApp para disseminar mensagens indesejadas do dispositivo comprometido;

Splash Plugin: exibe anúncios intrusivos para as vítimas quando utilizam aplicativos fidedignos;

Plug-in Silence: pode instalar aplicativos adicionais recebidos do servidor C2 ou desinstalar aplicativos existentes, dependendo das instruções. A instalação e o lançamento do aplicativo é feita de forma “silenciosa” no sentido de que ocorrem em segundo plano.

Impacto nos cinco continentes

new_cognito

Angola entre os principais destinos de dispositivos pré-infectados com malware "Guerrila"Número de dispositivos infectados declarado pelo “Lemon Group” – Créditos: Trend Micro

Segundo o relatório, estas funções permitem que o “Lemon Group” estabeleça uma estratégia de monetização diversificada que pode incluir a venda de contas comprometidas, sequestro de recursos de rede, oferta de serviços de instalação de aplicativos, geração de impressões de anúncios fraudulentos, oferta de serviços de proxy e serviços de SMS Phone Verified Accounts (PVA, na sigla inglesa). O esquema afecta cerca de nove milhões de dispositivos Android em 180 países espalhados pelos cinco continentes. Os dez países mais significativamente afectados são:

  1. EUA
  2. México
  3. Indonésia
  4. Tailândia
  5. Rússia
  6. África do Sul
  7. Índia
  8. Angola
  9. Filipinas
  10. Argentina

A pesquisa indica que o esquema terá iniciado há cerca de cinco anos e poderá ter sido executado através de ataques à cadeia de suprimentos, software de terceiros comprometido, processo de atualização de firmware comprometido ou recrutamento de pessoas de dentro da cadeia de fabricação ou distribuição de dispositivos. Os investigadores estimam haver actualmente 50 marcas de dispositivos móveis Android infectadas em todo mundo, com o grosso destes estando localizado no sudeste asiático e na Europa Oriental.

Entretanto, considerando as características deste esquema, a Trend Micro acredita que o número real dispositivos infectados com o “Guerrilla” pode ser maior, pois, explica, é provável que muitos dispositivos ainda não se tenham comunicado com os servidores de comando e controlo dos atacantes por ainda não terem sido comprados.

new_cognito

O Portal de T.I procurou saber junto da Trend Micro quais são as marcas dos dispositivos afectados pelo “Guerrila”, mas ainda não obteve resposta.

 

Partilhar artigo:

Tags:

Versao3 - Cópia

Somos um portal de notícias, voltado às tecnologias de informação e inovação tecnológica. Informamos com Rigor, Objectividade e Imparcialidade. Primamos pela qualidade, oferecendo aos nossos leitores, a inclusão tecnológica e a literacia digital

+(244) 930747817

info@pti.ao | redaccao@pti.ao

Mais Lidas

Últimos Artigos

Desenvolvido Por SP Media