Guerilla 惡意軟件潛伏在數百萬 Android 設備上

網絡犯罪組織 Lemon Group 已成功將 Guerrilla 惡意軟件植入全球約 890 萬台基於 Android 的設備，包括智能手機、手錶、電視和電視盒。網絡安全公司趨勢科技在最近的一份報告中透露了這一信息。

Guerrilla 惡意軟件具有多種功能，例如加載其他惡意軟件、攔截通過 SMS 發送的一次性密碼 (OTP)、通過受感染設備建立反向代理以及滲透 WhatsApp 會話。

據趨勢科技的研究人員稱，受感染的設備被轉化為移動代理，作為竊取和銷售短信、社交媒體和在線消息帳戶的工具，以及通過廣告和點擊欺詐來創收。這些發現在最近的 BlackHat Asia 會議期間發表在一份報告中。

該惡意軟件已在全球分佈，在 180 多個國家/地區發現了受感染的設備，包括美國、墨西哥、印度尼西亞、泰國、俄羅斯、南非、印度、安哥拉、菲律賓和阿根廷。

用於植入游擊隊的供應鏈攻擊

Android 設備上存在惡意軟件可歸因於製造商僱用第三方來增強標準系統映像。趨勢科技在對 Guerilla 惡意軟件的分析中發現，一家負責為手機生產固件組件的公司也為 Android Auto 創建了類似的組件，Android Auto 是一款用於車輛儀表板系統的應用程序。

這引起了人們對車載娛樂系統可能受到感染的擔憂。研究人員在研究過程中強調了這一點。在有關手機受損的報告浮出水面後，對 Guerilla 的調查開始了。研究人員獲得了一部受感染的手機並提取了 ROM 映像以進行法醫檢查。在報告中，研究人員發現了一個名為 libandroid_runtime.so 的受操縱系統庫，它將一段代碼片段注入到一個名為 println_native 的函數中。

注入代碼的目的是從設備的數據部分解密一個 DEX 文件，Android 操作系統使用它來執行字節碼，並將其加載到內存中。此文件由 Android Runtime 執行以激活攻擊者使用的主要插件，稱為 Sloth，並提供其配置，包括用於通信的 Lemon Group 域。

檸檬集團主要專注於利用大數據分析製造商的出貨數據、來自不同用戶的各種廣告內容以及詳細的硬件和軟件信息。這使他們能夠監控客戶並可能將他們感染其他應用程序。

游擊隊有顯著的能力

Guerilla 惡意軟件的主要插件會加載提供特定功能的額外專用插件。 SMS 插件攔截通過 SMS 接收的 WhatsApp、京東和 Facebook 的一次性密碼。代理插件從受感染的設備建立反向代理，使攻擊者能夠利用受害者的網絡資源。 Cookie 插件從應用程序數據目錄中檢索 Facebook cookie 並將它們發送到 C2 服務器，同時還劫持 WhatsApp 會話以分發不需要的消息。

此外，該惡意軟件還包括 Splash Plugin（在受害者使用合法應用程序時顯示侵入性廣告）和 Silent Plugin（負責靜默安裝或卸載從 C2 服務器接收的 APK（Android Package Kits））。這些應用程序的安裝和啟動在後台謹慎進行。