Indo1.id – Organisasi kejahatan dunia cyber Lemon Group terindikasi telah menginfeksi lebih dari 8,9 juta perangkat Android, termasuk smartphone, jam tangan, televisi, dan lainnya dengan malware Guerilla.
Trend Micro menyatakan malware Guerilla telah menginfeksi sebelumnya pada perangkat tersebut di seluruh dunia dan memiliki potensi untuk diperluas ke perangkat IoT juga.
“Kami percaya bahwa operasi pelaku ancaman juga dapat menjadi kasus pencurian informasi dari perangkat yang terinfeksi untuk digunakan dalam pengumpulan data besar sebelum menjualnya ke pelaku ancaman lain sebagai skema monetisasi pasca infeksi lainnya,” kata Trend Micro.
Trend Micro mengungkapkan pelanggaran data tersebut pada konferensi Black Hat Asia 2023 yang diselenggarakan di Singapura awal Mei ini.
“Infeksi mengubah perangkat ini menjadi proksi seluler, alat untuk mencuri dan menjual pesan SMS, akun media sosial dan perpesanan online, serta monetisasi melalui iklan dan penipuan klik,” tutur peneliti Trend Micro.
Malware Guerilla dapat menyusup ke sejumlah alat Android, termasuk menggesek kata sandi, menyadap kata sandi satu kali, dan mengganggu perpesanan serta aplikasi lain. Banyak data pribadi dapat diekspos dari malware ini dan perangkat ini telah dijual di seluruh dunia, meninggalkan jejak remah roti digital yang sangat membingungkan dan membuat frustrasi bagi tim riset Trend Micro.
Meskipun kelompok utama perangkat terjangkit diindikasikan ada di Asia Tenggara dan Eropa Timur, namun harus dianggap masalah global dianggap masala. Bahkan Malware ini dapat dipasang melalui pihak ketiga yang disewa oleh produsen untuk kepentingan pribadi.
Trend Micro telah melacak beberapa infeksi ke perusahaan yang memproduksi komponen firmware untuk perangkat seluler serta Android Auto.
Trend Micro menemukan “perpustakaan sistem bernama libandroid_runtime.so yang dirusak untuk menyuntikkan kode cuplikan ke dalam fungsi yang disebut println_native.
File inilah yang akan dipanggil saat mencetak log. Setelah itu, kode yang disuntikkan ini akan mendekripsi file DEX dari bagian data dan memuatnya ke dalam memori.
File DEX ini memiliki domain Lemon Group, serta plugin utama bernama ‘Sloth’. File DEX memiliki konfigurasi yang ditulis dengan nama saluran ‘BSL001’, yang mungkin merupakan singkatan dari domain tersebut.
Malware juga dapat menyusup ke akun media sosial pengguna, termasuk WhatsApp, serta membahayakan Plugin Splash dengan iklan yang mengganggu. Itu bahkan dapat menginstal, membiarkannya berjalan diam-diam di latar belakang, dan menghapus instalan aplikasi.
