Perusahaan kejahatan dunia maya besar yang dilacak sebagai “Lemon Group” dilaporkan telah menginstal malware yang dikenal sebagai ‘Gerilla’ di hampir 9 juta smartphone, jam tangan, TV, dan kotak TV berbasis Android.
Pelaku ancaman yang digunakan Gerilya untuk memuat muatan tambahan, mencegat kata sandi satu kali dari SMS, menyiapkan proxy terbalik dari perangkat yang terinfeksi, membajak sesi WhatsApp, dan banyak lagi.
Menurut laporan oleh Mikro Trenyang analisnya menemukan perusahaan kriminal besar-besaran dan mempresentasikan detailnya baru-baru ini Black Hat Asia konferensi, beberapa infrastruktur penyerang tumpang tindih dengan Operasi trojan Triada dari 2016.
Triada adalah trojan perbankan yang sudah diinstal sebelumnya 42 model ponsel cerdas Android dari merek Cina berbiaya rendah yang menjual produk mereka secara global.
Trend Micro mengatakan mereka pertama kali mengungkap Grup Lemon pada Februari 2022, dan segera setelah itu, grup tersebut diduga berganti nama menjadi “Durian Cloud SMS”. Namun, infrastruktur dan taktik penyerang tetap tidak berubah.
“Sementara kami mengidentifikasi sejumlah bisnis yang dilakukan Lemon Group untuk data besar, pemasaran, dan perusahaan periklanan, bisnis utama melibatkan pemanfaatan data besar: Menganalisis sejumlah besar data dan karakteristik yang sesuai dari pengiriman pabrikan, konten iklan yang berbeda diperoleh dari pengguna yang berbeda pada waktu yang berbeda, dan data perangkat keras dengan dorongan perangkat lunak terperinci,” jelas laporan Trend Micro.
Menanam malware
Trend Micro belum menguraikan bagaimana Lemon Group menginfeksi perangkat dengan firmware berbahaya yang mengandung gerilya tetapi mengklarifikasi bahwa perangkat yang diperiksa analisnya telah di-flash ulang dengan ROM baru.
Analis mengidentifikasi lebih dari 50 ROM berbeda yang terinfeksi dengan loader malware awal, menargetkan berbagai vendor perangkat Android.
“Kelompok kriminal tersebut telah menginfeksi jutaan perangkat android, terutama ponsel, tetapi juga jam tangan pintar, TV pintar, dan lainnya,” bunyi deskripsi pembicaraan Black Hat Trend Micro.
“Infeksi mengubah perangkat ini menjadi proksi seluler, alat untuk mencuri dan menjual pesan SMS, akun media sosial dan perpesanan online, serta monetisasi melalui iklan dan penipuan klik.”
Kemungkinan cara untuk mencapai kompromi ini termasuk serangan rantai pasokan, perangkat lunak pihak ketiga yang disusupi, proses pembaruan firmware yang disusupi, atau mendaftarkan orang dalam pada rantai produksi atau distribusi produk.
Trend Micro mengatakan mereka awalnya membeli ponsel Android dan mengekstrak “gambar ROM” untuk menemukan firmware yang dimodifikasi yang ditanamkan oleh Lemon Group.
Perangkat ini memiliki modifikasi pada pustaka sistem ‘libandroid_runtime.so’ untuk memuat kode tambahan yang akan mendekripsi dan mengeksekusi file DEX.
Kode file DEX dimuat ke dalam memori dan dijalankan oleh Android Runtime untuk mengaktifkan plugin utama yang digunakan oleh penyerang, yang disebut “Sloth”, dan juga menyediakan konfigurasinya, yang berisi domain Lemon Group yang akan digunakan untuk komunikasi.
Malware Gerilya
Plugin utama untuk malware Guerrilla memuat plugin tambahan yang didedikasikan untuk menjalankan fungsi tertentu, termasuk:
- Plugin SMS: Mencegat kata sandi satu kali untuk WhatsApp, JingDong, dan Facebook yang diterima melalui SMS.
- Plugin Proksi: Menyiapkan proxy terbalik dari ponsel yang terinfeksi yang memungkinkan penyerang memanfaatkan sumber daya jaringan korban.
- Plugin kue: Membuang cookie Facebook dari direktori data aplikasi dan mengekstraknya ke server C2. Itu juga membajak sesi WhatsApp untuk menyebarkan pesan yang tidak diinginkan dari perangkat yang disusupi.
- Plugin percikan: Menampilkan iklan yang mengganggu kepada korban saat mereka menggunakan aplikasi yang sah.
- Pengaya senyap: Menginstal APK tambahan yang diterima dari server C2 atau mencopot pemasangan aplikasi yang ada seperti yang diinstruksikan. Penginstalan dan peluncuran aplikasi “senyap” dalam arti terjadi di latar belakang.
Fungsi-fungsi ini memungkinkan Lemon Group untuk menetapkan strategi monetisasi yang beragam yang dapat mencakup penjualan akun yang disusupi, membajak sumber daya jaringan, menawarkan layanan pemasangan aplikasi, menghasilkan tayangan iklan palsu, menawarkan layanan proxy, dan layanan SMS Phone Verified Accounts (PVA).
Dampak di seluruh dunia
Trend Micro melaporkan bahwa Lemon Group sebelumnya telah mengklaim di situs penawaran layanannya untuk mengendalikan hampir sembilan juta perangkat yang tersebar di 180 negara. Negara-negara yang terkena dampak paling signifikan termasuk Amerika Serikat, Meksiko, Indonesia, Thailand, dan Rusia.
“Selanjutnya, melalui data telemetri kami, kami memastikan bahwa ada jutaan perangkat terinfeksi yang beroperasi secara global. Kelompok utama perangkat ini ada di Asia Tenggara dan Eropa Timur, namun ini benar-benar masalah global,” kata Trend Micro.
Trend Micro menunjukkan bahwa jumlah aktual perangkat Android yang terinfeksi gerilya bisa lebih tinggi. Namun, perangkat tersebut belum berkomunikasi dengan server perintah dan kontrol penyerang karena masih menunggu pembelian.
Dengan memantau operasi, analis mendeteksi lebih dari 490.000 nomor ponsel yang digunakan untuk membuat permintaan kata sandi satu kali untuk layanan SMS PVA dari JingDong, WhatsApp, Facebook, QQ, Line, Tinder, dan platform lainnya.
Identifikasi lebih dari setengah juta perangkat yang disusupi terkait hanya dengan satu layanan yang ditawarkan oleh sindikat kejahatan dunia maya ini menandakan jangkauan global yang substansial dari operasi jahat mereka.
BleepingComputer telah bertanya kepada Trend Micro di mana mereka membeli ponsel pra-terinfeksi, bagaimana penjualannya, dan merek apa yang terpengaruh, tetapi jawaban tidak segera tersedia.
