Oltre nove milioni di dispositivi infestati da un potente malware, figlio di una campagna fraudolenta di difficile comprendonio.
La tecnologia malevole è sempre un passo avanti rispetto a quella sviluppata per difendere i nostri device: smartphone e tablet (iPhone e iPad fa lo stesso) ma anche i sempre più numerosi dispositivi Internet of Things.
La dimensione del mercato dei dispositivi mobili ha raggiunto i miliardi ed è stimata per raggiungere i 18 miliardi entro il 2025. Sviluppatori, hobbisti e appassionati esperti e desiderosi di migliorare i rispettivi dispositivi lo hanno fatto per massimizzare le funzionalità dei rispettivi telefoni con l’intento di migliorare l’hardware, l’esperienza utente o le prestazioni della durata della batteria, tra gli altri scopi.
Col tempo, gli attori delle minacce si sono rivolti al reflash e all’installazione silenziosa come tecniche per attività dannose. Questi sono diventati dilaganti quando i telefoni sono stati infettati quando gli attori delle minacce hanno impiantato app indesiderate per monetizzare schemi pay-per-install.
Queste app erano accompagnate da un plug-in silenzioso che spingeva le app sul dispositivo della vittima ogni volta che lo desiderava. Le nostre case sono sempre più smart: Alexa e gli Echo Dot pullulano in Italia, se da un lato rendono il nostro focolare domestico ancora più allettante, dall’altra necessitano di un maggior controllo. La cura dell’Internet delle cose (acronimo IoT) passano anche per queste informazioni, perché nuovi malware li stanno attaccando. Uno più degli altri.
Il modus operandi
E’ il malware Guerrilla, distribuito da un gruppo noto di cyber criminali, chiamato Lemon Group, operante principalmente nel settore dei big data: il suo modusoperandi sta nell’iniettare negli smartphone e TV box Android un malware preinstallato. Guerrilla, appunto.
E’ stato scovato dagli esperti di trend micro in una libreria di sistema chiamata libandroid_runtime.so, manomessa per inserire un codice snippet in una funzione chiamata println_native. Ciò ha consentito a Lemon Group di monitorare i clienti che possono essere ulteriormente infettati da altre app, ad esempio tramite la visualizzazione di pubblicità solo per gli utenti di app di determinate nazioni.
Dalla indagine di trend micro sì è venuto a sapere di un’intera architettura dell’impianto di Lemon Group, una libreria di dipendenza zigote manomessa che caricherà un downloader in un processo zigote. Il downloader caricato può scaricare ed eseguire altri plugin, con un processo corrente come target e gli altri plug-in controllanti l’app corrente tramite un hook.
Il metodo del Lemon Group è simile allo sviluppo del framework Xposed, con entrambi i processi zigote modificati per implementare l’iniezione di processo globale. Finora ben nove milioni di dispositivi sarebbe stati attaccati da Guerrilla.
