El caso de la empresa Lemon Group sirve de ejemplo para demostrar como los actores de amenazas monetizan a través de dispositivos Android comprometidos.
Sin saberlo, millones de usuarios de teléfonos Android contribuyen al bienestar financiero de una compañía llamada Lemon Group. Estos dispositivos Android se infectaron incluso antes de su compra. Los actores de amenazas los utilizan para robar y vender mensajes SMS y contraseñas de un solo uso, servir anuncios no deseados y hasta configurar cuentas de mensajería en línea y redes sociales.
Estos datos se confirmaron por el mismo Lemon Group. Afirman que cuentan con una base de casi 9 millones de dispositivos Android infectados, que sus clientes utilizan de distintas formas.
El problema de los teléfonos Android infectados no es para nada nuevo, varias empresas como Trend Micro y Kaspersky han informado en los últimos años sobre esta problemática, Lemon Group es solo una de las compañías que se han beneficiado de este modelo de negocio. Los investigadores de Trend Micro realizaron una exhaustiva búsqueda para dar con las operaciones de Lemon Group. Al analizar la imagen de una ROM de un dispositivo Android, descubrieron que este estaba infectado con el malware “Guerrilla”.
Los resultados de su investigación muestran que el grupo ha infectado dispositivos pertenecientes a usuarios de Android en 180 países. Más del 55% de las víctimas se encuentran en Asia, alrededor del 17% en Norteamérica y casi el 10% en África. Trend Micro logró identificar más de 50 marcas de dispositivos móviles, en su mayoría de bajo coste.
La manipulación de dispositivos Android es una problemática en crecimiento
Fyodor Yarochkin, Zhengyu Dong y Paul Pajares, investigadores de Trend Micro, expusieron en Black Hat Asia 2023 y en un artículo de blog sus opiniones acerca del riesgo que representan grupos como Lemon Group para usuarios de Android. Señalaron que es un problema creciente que afecta no solo a usuarios de teléfonos Android, sino también a dueños de Smart TV Android, TV Boxes, sistemas de entretenimiento con base en Android e incluso relojes infantiles basados en Android. «Siguiendo nuestras estimaciones temporales, el actor de la amenaza ha propagado este malware durante los últimos cinco años», dijeron los investigadores. «Un compromiso en cualquier infraestructura crítica significativa con esta infección probablemente puede producir un beneficio significativo para Lemon Group a largo plazo a expensas de los usuarios legítimos.”
Comúnmente la manipulación sucede cuando un fabricante legítimo de Android quería agregar funciones adicionales a una imagen estándar del sistema Android y encargó la tarea a un tercero. Hace algunos años, la mayoría de los programas maliciosos previamente instalados en los celulares eran ladrones de información y servidores de anuncios.
Generalmente, la manipulación ha impactado dispositivos económicos de marcas pequeñas y desconocidas. No obstante, a veces también han sido afectados dispositivos de grandes proveedores y fabricantes de equipos originales. En 2017, por ejemplo, Check Point reportó el descubrimiento de 37 modelos de dispositivos Android de una importante empresa multinacional de telecomunicaciones con malware preinstalado. El creador de la amenaza incluyó seis muestras del malware en la ROM del dispositivo, impidiendo su eliminación sin reiniciar los dispositivos. Y como este muchos otros casos.
Un problema de infección que evoluciona
Como comentamos anteriormente el malware en estos dispositivos hace unos años se utilizaba para robar información y mostrar anuncios no deseados. Sin embargo, últimamente se ha visto que los programas maliciosos son cada vez más peligrosos.
Un gran ejemplo es Triada, un troyano que alteraba el núcleo del proceso Zygote en Android. También reemplazaba archivos del sistema y funcionaba principalmente en la memoria RAM, dificultando su detección. La investigación de Trend Micro sobre la campaña de malware Guerrilla reveló coincidencias entre las operaciones de Lemon Group y Triada, tanto en la infraestructura de mando y control como en las comunicaciones.
Otro añadido de Guerrilla permite a Lemon Group rentar recursos de un teléfono infectado a sus clientes por periodos breves; un añadido de cookies se vincula a aplicaciones asociadas con Facebook en dispositivos de usuarios para fines fraudulentos en publicidad; y un añadido de WhatsApp toma control de sesiones del usuario para enviar mensajes no deseados. Además, otro complemento posibilita la instalación silenciosa de aplicaciones que necesitan permiso para actividades específicas.