Enligt säkerhetsforskare på Trend Micro har skadeprogrammet Guerilla hittats förinstallerat på åtminstone 8,9 miljoner telefoner från över 50 tillverkare. Guerilla är ett aggressivt reklamskadeprogram som spionerar på användare, säljer datan till reklamköpare och visar överdrivet mycket reklam. Infekterade enheter har hittats världen över.
Risken med att införskaffa en Android-produkt som redan från start är del av ett så kallat botnät är hög, speciellt om du köper billiga Android TV-mediaspelare eller mobiltelefoner. Medan välkända tillverkare som Samsung, Sony och Google erbjuder hög säkerhet och flera års garanterade säkerhetsuppdateringar, tar billigare tillverkare inte alltid säkerheten på lika stort allvar.
Guerilla-malware, distribuerat av cyberbrottsligan Lemon Group, kan installera ytterligare skadliga program, avlyssna engångslösenord (OTP) från SMS-meddelanden, etablera en omvänd proxy från den infekterade enheten och infiltrera WhatsApp-sessioner. Enheten blir då ett verktyg för stöld och försäljning av SMS-meddelanden, sociala medier och onlinemeddelandekonton, samt monetarisering via annonser och klickbedrägerier.
Det har även framkommit att billiga Android TV-mediaspelare kan vara fulla av skadlig kod. De ansvariga tillverkarna har inte tillhandahållit några uppdateringar eller fullständiga firmwarebilder för manuell installation, vilket innebär att användare inte kan återställa enheterna för att bli av med skadeprogrammen.
Förutom mobiltelefoner och mediespelare, har det i analysen av Guerilla upptäckts att företaget som producerar firmwarekomponenter för mobiltelefoner också producerar liknande komponenter för Android Auto. Detta skapar möjlighet till att vissa bilsystem redan kan vara infekterade. För att skydda dig själv är det viktigt att noggrant överväga vilken tillverkare du köper din Android-enhet ifrån och regelbundet uppdatera enheterna.
Lemon Group identifierades först i februari 2022, varefter gruppen bytte namn till Durian Cloud SMS. Trots detta har angriparnas infrastruktur och taktik förblivit oförändrade.
Trend Micros rapport, presenterad på BlackHat Asia-konferensen, understryker att de infekterade enheterna distribuerats globalt. Skadeprogrammet finns på enheter som skeppats till mer än 180 länder, inklusive USA, Mexiko, Indonesien, Thailand, Ryssland, Sydafrika, Indien, Angola, Filippinerna och Argentina.
Källa: Trend Micro