La cybergang Lemon Group ha preinstallato il malware Guerrilla su smartphone, smartwatch e tv box Android, consentendo loro di caricare payload aggiuntivi e ottenere accesso a dati sensibili.
La multinazionale giapponese Trend Micro ha scoperto questa minaccia e ha rivelato i dettagli del malware. Le infrastrutture utilizzate dai criminali si sovrappongono a quelle precedentemente impiegate per diffondere il trojan Triada, suggerendo una possibile connessione tra le due attività.
Utilizzando questa strategia sofisticata, i cybercriminali riescono a riprogrammare i dispositivi con nuove memorie ROM, trasformandoli in strumenti per il furto e la vendita di informazioni come password monouso, account dei social media e conversazioni di WhatsApp.
Ma come avviene la preinstallazione ?
La cybergang Lemon Group si infiltra nella catena di produzione o distribuzione dei dispositivi per garantirsi che il malware Guerrilla sia già presente al momento dell’acquisto. In questo modo, possono caricare plug-in aggiuntivi sui dispositivi per eseguire funzionalità specifiche, come l’intercettazione di password monouso, l’utilizzo delle risorse di rete della vittima e la visualizzazione di pubblicità invasiva.
Attraverso questa strategia di monetizzazione diversificata, che include la vendita di account compromessi, servizi di installazione di app e la diffusione di pubblicità fraudolente, la cybergang Lemon Group controlla quasi 9 milioni di dispositivi Android in 180 paesi.
Questi dispositivi sono concentrati principalmente negli Stati Uniti, Messico, Indonesia, Tailandia e Russia. Questa attività criminale su vasta scala dimostra l’ampiezza dell’operazione della cybergang, che ha agito indisturbata in tutto il mondo fino ad oggi.
Questo è un dato allarmante che mette in evidenza la necessità di rafforzare la sicurezza dei dispositivi Android e combattere le minacce provenienti dalle cybergang.