La criminalità informatica cerca di stare sempre un passo davanti ai controlli, e l’eterno gioco tra guardie e ladri prosegue in sostanziale parità. Stavolta però il nuovo malware fa registrare un punto a favore dei cybercriminali, i quali hanno preinstallato questo file malevolo all’interno di tanti dispositivi Android. Di cosa si tratta e quali sono i device a rischio? Facciamo il punto della situazione.

La mossa dei criminali

Si chiama Lemon Group l’ensemble di furfanti che ha ritoccato i device Android installando al loro interno un malware capace di infettar tutto il dispositivo.

Il malware in questione si chiama Guerilla ed è stato capace di infettare smartphone, smart tv, smartwatch e chi più ne ha più ne metta. Ma a cosa serve questo programma malevolo inserito nei nostri device? Ecco quali sono le funzioni che gli hacker possono compiere una volta che hanno infettato il dispositivo:

  • intercettare password monouso da SMS;
  • impostare un reverse proxy dal dispositivo infetto;
  • dirottare sessioni di WhatsApp;
  • caricare payload aggiuntivi, ossia app a pagamento.

In realtà le funzioni che gli hacker possono compiere non finiscono qui, ma ci sembra già chiaro da questa breve lista che si tratta di un danno davvero grave. Insomma, mentre i ricercatori coreani provano ad utilizzare l’intelligenza artificiale per creare un nuovo programma capace di scovare gli hacker ed altri criminali sul dark web, questi furbacchioni dell’internet si sono invece inventati un sistema che permette loro di aggirare i controlli e nuocere pericolosamente alle loro vittime.

Una truffa ben orchestrata

Non è un caso isolati quello che riguarda il malware Guerilla, anzi secondo gli esperti si tratterebbe di una truffa che poggia le sue basi su una precedente infrastruttura, quella del trojan Triada del 2016. Triada era un trojan bancario trovato preinstallato in 42 modelli di smartphone Android di marchi cinesi particolarmente economici.

In poche parole, Lemon Group avrebbe utilizzato gli stessi schemi informatici per entrare nei nuovi dispositivi Android. In questo caso però si parla di un’infezione ancora più grande, visto che i device infetti sono stati quantizzati in numero di 9 milioni di unità.

Come proteggersi da questi attacchi? Le soluzioni sono sempre le stesse, navigare solo su siti affidabili e bannare messaggi indesiderati e sospetti, come mail o SMS che ci propongono affari. In questo caso, però, si tratta di malware che vengono già preinstallati sui dispositivi, quindi riuscire a difendersi in questo caso è davvero ostico. Secondo gli esperti i primi sospetti sono arrivati già a febbraio 2022, ma successivamente gli hacker sono stati identificati con un altro nome, ossia Durian Cloud SMS. I professionisti della cybersecurity però affermano che si tratta sempre del medesimo gruppo, ossia il Lemon Group, poiché le tattiche di attacco utilizzate sono identiche.

Malware nei device Android

A scoprire dell’esistenza di questi nuovi hacker sono stati gli esperti di Trend Micro, i quali hanno studiato nel dettaglio il modus operandi di questi criminali e hanno consegnato un accurato report alle autorità. Ecco uno stralcio del loro rapporto:

“Mentre abbiamo identificato una serie di attività che Lemon Group svolge per società di big data, marketing e pubblicità, l’attività principale prevede l’esfiltrazione di grandi quantità di dati allo scopo di analisi per contenuti pubblicitari, dati hardware e software dettagliati”.

Insomma, stavolta il rischio è davvero grande e potremmo tutti essere potenzialmente infetti. Per fortuna ci sono esperti del settore che vegliano su di noi controllando che i nostri dispositivi siano sempre sicuri e affidabili.