Le groupe de cybercriminels Lemon Group aurait, selon une nouvelle analyse, pré-infecté près de 9 millions d'appareils fonctionnant sous Android grâce à un malware de haut niveau. Des SMS uniques à l'infiltration des sessions WhatsApp, on le retrouve partout.
Une partie de l'infrastructure du malware recoupe celle du cheval de Troie Triada, apparu en 2016 et détecté dans 42 modèles de smartphones chinois.
Guerrilla, un malware en plein cœur de vos appareils
Le groupe d'experts en cybersécurité Trend Micro vient de publier un nouveau rapport d'analyse dans lequel on apprend que le malware Guerrilla, visiblement créé par le groupe Lemon, aurait pré-infecté 8,9 millions d'appareils Android à travers 180 pays. On parle bien évidemment de smartphones, mais également de tablettes, de télévisions connectées, de décodeurs, et même de montres connectées pour enfants. Capable d'intercepter des SMS à usage unique, les mots de passe, les données bancaires et toutes sortes d'informations sensibles, Guerrilla est particulièrement dangereux.
Il peut en effet passer outre les mises à jour de sécurité, puisqu'il n'affecte pas directement les applications, mais la ROM. Ainsi, les pirates s'attaquent au logiciel dont le rôle est de charger le système d'exploitation de gérer l'utilisation du matériel. 50 ROM différentes ont été infectées, ce qui est tout simplement énorme. Une telle infection révèle une grande connaissance des outils spécialisés dans le domaine du piratage et renforce le danger représenté par Guerrilla.
« L'infection transforme ces appareils en proxys mobiles, en outils de vol et de vente de SMS, en faux comptes de réseaux sociaux et comptes de messageries en ligne, et est monétisée par de fausses publicités type fraude au clic », peut-on lire.
Une infection qui intervient avant la mise en service
D'après Trend Micro, les pirates du groupe Lemon (aussi nommé Durian Cloud SMS), installés en Chine, peuvent avoir utilisé des tiers pour atteindre les appareils. Ils ont donc pu attaquer la chaîne d'approvisionnement, ciblant les entreprises software qui travaillent aux côtés des constructeurs, ou recrutant parmi les constructeurs et les distributeurs. Avec des plugins consacrés aux SMS, à la création d'un proxy, au détournement des réseaux sociaux, à l'affichage de publicités intrusives ainsi qu'à l'installation ou à la désinstallation d'applications, Guerrilla semble avoir des usages variés.
D'après les analyses, le malware est en mesure de soutenir des activités telles que la vente de comptes ou la génération de pièges publicitaires, et de permettre à des pirates tiers d'obtenir des mots de passe à usage unique pour s'introduire dans divers services vérifiés par téléphone. La majorité des téléphones infectés seraient situés en Asie du Sud-Est, mais le monde entier a l'air touché, au regard des données récoltées par télémétrie.
Trend Micro précise que le nombre d'appareils touchés pourrait être encore plus élevé, mais ces derniers n'ayant pas encore été achetés, ils n'ont pas communiqué avec les serveurs de commande. Malgré tout, 490 000 numéros de téléphone ont déjà envoyé des demandes de mots de passe uniques pour diverses applications telles que Tinder, Facebook, QQ ou WhatsApp. Notons toutefois que Trend Micro n'a pas dévoilé la manière dont les numéros de téléphone infectés ont été obtenus.
Sources : Bleeping Computer, The Hacker News
