Guerilla-malware treft 9 miljoen apparaten wereldwijd
De Guerilla-malware vond via alternatieve software op ROMs zijn weg naar 9 miljoen apparaten.
Aan het Android-besturingssysteem valt meer aan te passen dan aan iOS, dat een eerder beperkt aantal customisatie-opties voorziet. Voor wie de ingebouwde opties van Android niet goed of toereikend genoeg zijn, zijn er ‘custom ROMs’. Dat zijn bestanden die, eenmaal ze naar een smartphone opgeladen worden, het besturingssysteem kunnen vervangen voor andere software. Alleen is dat niet zonder gevaren: ROMs blijken de voornaamste manier te vormen waarop de Guerilla-malware apparaten infecteert.
Dat zulke dingen gebeuren is op zich niets nieuws: in 2016 werden ROMs al gebruikt om de Triada-malware te verspreiden. Onderzoekers van Trend Micro spotten nu enkele gelijkenissen tussen de nieuwe Guerilla-malware en het stuk kwaadaardige software uit 2016. Vermoedelijk werkte de cybercrimegroep achter Guerilla, de ‘Lemon-groep’, ooit samen met de groep achter Triada.
Wat doet Guerilla-malware?
Het doel van Guerrilla-malware is om eenmalige wachtwoorden van sms-berichten te onderscheppen, extra payloads te laden, een omgekeerde proxy van het geïnfecteerde apparaat op te zetten en WhatsApp-sessies te kapen. Geld verdienen doen de cybercriminelen ook door valse advertenties op te zetten en gecompromitteerde accounts te verkopen.
Gecompromitteerde accounts en geïnfecteerde toestellen zijn over de hele wereld te vinden. Volgens de onderzoekers zou de malware bijna 9 miljoen verschillende apparaten treffen. Die apparaten bevinden zich op élk continent, al is het aandeel van Europa eerder klein. De meest getroffen landen zijn als volgt:
De Verenigde Staten
Mexico
Indonesië
Thailand
Rusland
Zuid-Afrika
India
Angola
De Filipijnen
Argentinië
Gedaanteverwisseling
Na een presentatie waarin de onderzoekers hun bevindingen deelden, merkten ze dat de servers van Lemon plotseling verdwenen waren. Of liever: ze waren niet verdwenen, maar gingen onder een andere naam opereren. De Lemon-groep noemt zichzelf intussen ‘Durian Cloud SMS’ en blijft onder die naam verder opereren.