Meskipun kelompok utama perangkat terjangkit diindikasikan ada di Asia Tenggara dan Eropa Timur, namun harus dianggap masalah global dianggap masala. Bahkan Malware ini dapat dipasang melalui pihak ketiga yang disewa oleh produsen untuk kepentingan pribadi.
Trend Micro telah melacak beberapa infeksi ke perusahaan yang memproduksi komponen firmware untuk perangkat seluler serta Android Auto.
Trend Micro menemukan “perpustakaan sistem bernama libandroid_runtime.so yang dirusak untuk menyuntikkan kode cuplikan ke dalam fungsi yang disebut println_native.
File inilah yang akan dipanggil saat mencetak log. Setelah itu, kode yang disuntikkan ini akan mendekripsi file DEX dari bagian data dan memuatnya ke dalam memori.
File DEX ini memiliki domain Lemon Group, serta plugin utama bernama ‘Sloth’. File DEX memiliki konfigurasi yang ditulis dengan nama saluran ‘BSL001’, yang mungkin merupakan singkatan dari domain tersebut.
Malware juga dapat menyusup ke akun media sosial pengguna, termasuk WhatsApp, serta membahayakan Plugin Splash dengan iklan yang mengganggu. Itu bahkan dapat menginstal, membiarkannya berjalan diam-diam di latar belakang, dan menghapus instalan aplikasi.
