Dans un monde de plus en plus connecté, la sécurité des appareils mobiles est devenue une préoccupation majeure. Parmi les nombreuses menaces qui pèsent sur les utilisateurs, le logiciel malveillant Guerrilla est un problème de taille. Ce malware, préinstallé sur des millions d’appareils Android, est développé par le groupe de cybercriminels Lemon Group. Grâce à ce logiciel malveillant, les pirates informatiques peuvent voler des informations, intercepter des SMS et même détourner des sessions WhatsApp. Dans cet article, nous allons explorer le logiciel malveillant Guerrilla, ses méthodes de propagation, ses objectifs et les moyens de se protéger contre cette menace.
1. Historique du logiciel malveillant Guerrilla
Le nombre d’appareils mobiles dans le monde a atteint des milliards et devrait augmenter jusqu’à 18 milliards d’ici 2025. Autour de 2010, le reflashage (reprogrammation ou remplacement du firmware d’un appareil par un nouveau) et l’installation silencieuse sont devenus courants. Les acteurs malveillants ont rapidement saisi cette opportunité pour infecter des téléphones avec des applications indésirables et monétiser des schémas de paiement à l’installation.
En 2016, le malware Triada a été signalé sur plusieurs appareils, et en 2019, Google a confirmé un cas d’utilisation d’image OEM par des fournisseurs tiers sans en informer le fabricant d’origine. En 2021, lors de l’étude des détections du botnet mobile SMS PVA, alimenté par des attaques sur la chaîne d’approvisionnement mobile compromise, le botnet et les opérations des acteurs malveillants ont été découverts. Le groupe a transformé cela en une entreprise criminelle et a établi le réseau depuis au moins 2018.
Le malware Guerrilla, déployé par le groupe d’acteurs malveillants « Lemon Group », a été identifié grâce aux URL de leurs pages orientées client. Des recherches ont montré que l’infrastructure de leur backend, y compris les plugins malveillants et les serveurs de commande et de contrôle (C&C), présentait des similitudes avec celle des opérateurs Triada, suggérant une collaboration entre ces deux groupes.
2. Méthode de propagation du logiciel malveillant Guerrilla
Les auteurs du cheval de Troie Guerrilla ont diffusé cette menace via de fausses applications disponibles sur le Google Play Store, contournant avec succès les contrôles de sécurité mis en place. Ces applications servaient de téléchargeurs et, une fois installées, se connectaient au serveur C&C des attaquants pour récupérer la charge utile du cheval de Troie Guerrilla.
3. Implantation du malware Guerrilla sur les appareils
Le groupe Lemon Group a réussi à préinstaller le malware Guerrilla sur des millions d’appareils Android, notamment des smartphones, des montres connectées, des téléviseurs et des boîtiers TV. Les pays les plus touchés par cette menace sont les États-Unis, l’Inde, l’Argentine, l’Angola, l’Indonésie, le Mexique, les Philippines, la Russie, l’Afrique du Sud et la Thaïlande.
Lire aussi : Comment choisir le meilleur ordinateur portable en 2023
4. Fonctionnement du malware Guerrilla
Une fois installé et opérationnel, le malware Guerrilla utilise des données importantes pour rechercher des applications spécifiques hébergées sur le Google Play Store, les télécharger, leur donner un avis positif et les supprimer ensuite pour que les utilisateurs ne remarquent pas l’activité non autorisée sur leurs appareils mobiles.
5. Plugins malveillants et vol d’informations
Le groupe Lemon utilise le malware Guerrilla pour installer des plugins supplémentaires sur les appareils Android des victimes. Chaque plugin de Guerrilla a un rôle spécifique, comme intercepter les mots de passe et les codes de vérification envoyés par SMS, installer des applications tierces, configurer un proxy inverse à partir de l’appareil infecté et détourner des sessions WhatsApp.
6. Monétisation et sources de revenus
Le groupe Lemon tire profit du malware Guerrilla en vendant des services de proxy, en offrant des services de comptes vérifiés par SMS, en vendant des comptes compromis, en diffusant de fausses publicités et en prenant le contrôle des ressources du réseau. Par exemple, l’entreprise de cybersécurité Trend Micro explique que le malware Guerrilla permet au groupe Lemon de surveiller les clients pouvant être infectés par d’autres applications et de cibler l’affichage de publicités en fonction des régions.
7. Interception des SMS et envoi de messages WhatsApp
Guerrilla est capable d’intercepter les SMS et de lire leur contenu, notamment les mots de passe à usage unique pouvant être envoyés pour confirmer des achats en ligne. Le malware est également lié aux applications de la galaxie Facebook, permettant d’intercepter des activités spécifiques pour accéder à la liste des activités de l’application Facebook et d’extraire les cookies liés à Facebook pour les télécharger sur son serveur de commande et de contrôle.
8. Autres appareils infectés
Outre les smartphones, des boîtiers TV Android sont également touchés par le malware Guerrilla, comme le rapporte le site spécialisé TechCrunch. Les modèles AllWinner et RockChip, vendus sur Amazon, sont infectés par un logiciel malveillant préinstallé, appelé Clickbot, capable de générer des revenus publicitaires en cliquant discrètement et à la place de l’utilisateur sur des publicités en arrière-plan.
9. Protection contre le malware Guerrilla
Pour se protéger contre le malware Guerrilla, il est essentiel d’investir dans une application anti-malware fiable, compatible avec les appareils Android. Il est également important de mettre à jour régulièrement l’application pour assurer une sécurité maximale.
10. Conclusion
Le logiciel malveillant Guerrilla représente une menace sérieuse pour les utilisateurs d’appareils Android dans le monde. Les pirates informatiques peuvent non seulement voler des informations personnelles, mais également détourner des sessions WhatsApp et intercepter des SMS. Il est crucial de prendre des mesures pour protéger ses appareils contre ce type de menace, en investissant dans une application anti-malware fiable et en mettant à jour régulièrement ses dispositifs de sécurité.
Derniers articles :
- 5 montres connectées pas cher pour suivre votre santé en 2025
- Présentation du Samsung Galaxy Z Flip5
- Présentation : Babyphone Owlet Duo SmartSock + Cam
- Multiprise Connectée WiFi review
- PANAMALAR Capteur de Porte WiFi sans Fil – Avis
