Lemon Group aurait préinstallé le malware Guerrilla sur près de 9 millions d’appareils Android

Dans un rapport publié le 17 mai 2023, les analystes de Trend Micro ont annoncé avoir découvert une vaste campagne d’attaques menée par un groupe cybercriminel référencé « Lemon Group » via l’exploitation du malware Guerrilla. Le groupe aurait infecté des millions d’appareils fonctionnant sous Android.

Le processus d’infection transformerait les appareils en proxies mobiles, permettant au mode opératoire d’intercepter les SMS et les identifiants de connexion des réseaux sociaux. Ces fonctions permettraient à Lemon Group d’établir ensuite une stratégie de monétisation diversifiée qui pourrait inclure :

• La vente de comptes compromis,
• Le détournement de ressources réseau,
• L’offre de services d’installation d’applications,
• La génération d’impressions publicitaires frauduleuses
• Des services de proxy.

En surveillant le mode opératoire, les analystes de Trend Micro auraient détecté plus de 490 000 numéros de téléphone mobile utilisés par Lemon Group pour générer des demandes de mot de passe à usage unique pour les services SMS de JingDong, WhatsApp, Facebook, QQ, Line, Tinder et d’autres plateformes.

Selon les chercheurs de Trend Micro, une partie de l’infrastructure C2 exploitée par Lemon Group se recouperait avec celle utilisée lors d’une attaque par trojan Triada identifiée en 2016. Depuis la publication des premiers résultats des investigations en février 2022 de Trend Micro, le groupe criminel se serait rebaptisé sous le nom de « Durian Cloud SMS ». Néanmoins, les tactiques, techniques et procédures déployées par Lemon Group resteraient inchangées.

Le vecteur de compromission initiale serait basé sur le reflash de l’image ROM. Cette technique de reprogrammation permet de remplacer le micrologiciel existant d’un appareil Android par un nouveau. Lemon Group aurait reflashé l’image ROM des téléphones ciblés par l’intermédiaire d’applications en apparence légitimes et disponibles sur le Play Store. Ces applications étaient accompagnées d’un downloader à l’origine de l’exécution de plugins malveillants :

• Plugin SMS : interception des SMS reçus et de lire des messages spécifiques tels que des mots de passe à usage unique provenant de diverses plateformes telles que WhatsApp, JingDong (une application de shopping) et Facebook.
• Plugin Proxy : mise en place un proxy inverse à partir d’un téléphone infecté.
• Plugin WhatsApp : détournement des sessions WhatsApp afin d’envoyer des messages indésirables. Ce plugin est utilisé pour stimuler des plateformes de marketing en publiant des messages sur Facebook au nom des comptes compromis.
• Plugin Splash : interception des activités numériques spécifiques telles que la publication d’annonces évènementielles à partir de publicités.

L’étude de Trend Micro donne un aperçu des stratégies commerciales et de monétisation fondées sur les appareils Android infectés. Bleeping Computer a rapporté que Lemon Group était en mesure de contrôler près de neuf millions d’appareils répartis dans 180 pays. Les pays les plus touchés seraient les États-Unis, le Mexique, l’Indonésie, la Thaïlande et la Russie. Les chercheurs de Trend Micro auraient identifié plus de 50 images ROM provenant de divers fournisseurs et contenant des payloads malveillantes.

Enfin, une des sociétés à l’origine de la production des composants du micrologiciel vulnérable produirait également des composants similaires pour Android Auto, une application mobile utilisée au sein des tableaux de bord de véhicules. Il est donc possible que certains systèmes embarqués susceptibles d’être infectés par le malware Guerrilla.

Indicateurs de compromission

file:f43bb33f847486bb0989aa9d4ce427a10f24bf7dcacd68036eef11c82f77d61d
file:e650336f4b5ba1e30cb3e9c5545dac715346c97641b72adff419474925835a43
file:3ddc3bd64db1e36976b8a1c9053e81ceb734b43c21a943c15a8e750b3b88f4e8
file:1b1239af5652b168cfab49ada2f31d77554e7e8c12ec29ca5bbbbea360dd5dd4
file:6fe61f3e68e73e543de35605bbb46624111af96dc7911f86d00b3760d7688afb
file:dcb29a49fc12336555f7ce8332663e3693956917de850522c670b9f96a29210d
file:2da981e50267791b195e1196735d680d4aa1498340320c86f8c4bb628ece6cc9
file:6fe61f3e68e73e543de35605bbb46624111af96dc7911f86d00b3760d7688afb
file:e4d1026fc527f0e1c1175e15b953c2cef6f994565c5e0385055fb617b60d6a98
file:68cdef672077cd1c70e0293c449f475cf234d032f2050f4dbc03fc0328846948
file:eee2e726eef0e5673176d38da27f40089f34b90916acf8b4f12ae4ac364d2c84
file:bc48a29eff1345236d6f10d15a340b66f2582bf0337707c6f7e3aaa5202a0f19

Références

• https://www.trendmicro.com/en_us/research/23/e/lemon-group-cybercriminal-businesses-built-on-preinfected-devices.html
• https://www.bleepingcomputer.com/news/security/banking-trojan-found-in-over-40-models-of-low-cost-android-smartphones/
• https://www.bleepingcomputer.com/news/security/cybercrime-gang-pre-infects-millions-of-android-devices-with-malware/