กลุ่มอาชญากรทางไซเบอร์ขนาดใหญ่ที่ถูกติดตามในชื่อ "Lemon Group" ถูกรายงานว่ามีการติดตั้งมัลแวร์ล่วงหน้าที่รู้จักกันในชื่อ "Guerilla" บนสมาร์ทโฟน นาฬิกา ทีวี และกล่องทีวีที่ใช้ระบบปฏิบัติการ Android เกือบ 9 ล้านเครื่อง
กลุ่มผู้ไม่หวังดีใช้ Guerilla เพื่อดาวน์โหลดเพย์โหลดที่ใช้ดักจับ OTP (One Time Password) ทาง SMS, ตั้งค่า Reverse Proxy จากอุปกรณ์ที่ติด Malware รวมไปถึงการขโมยเซสชั่น WhatApp และอื่น ๆ
จากรายงานของ Trend Micro ซึ่งนักวิเคราะห์ค้นพบองค์กรอาชญากรทางไซเบอร์ขนาดใหญ่ และนำเสนอรายละเอียดเกี่ยวกับปฏิบัติการของกลุ่มดังกล่าวในการประชุม BlackHat Asia เมื่อเร็ว ๆ นี้
Trend Micro พบว่ามีโทรจัน Triada ซึ่งเป็นโทรจันที่มุ่งเป้าโจมตีธนาคาร ได้ถูกติดตั้งไว้ล่วงหน้าในสมาร์ทโฟน Android 42 รุ่นจากแบรนด์จีนต้นทุนต่ำที่มีการจัดจำหน่ายผลิตภัณฑ์เหล่านั้นไปทั่วโลก
Trend Micro รายงานว่าพวกเขาพบปฏิบัติการของกลุ่ม Lemon Group ครั้งแรกในเดือนกุมภาพันธ์ พ.ศ. 2565 และไม่นานหลังจากนั้น กลุ่มดังกล่าวก็เปลี่ยนชื่อใหม่เป็น "Durian Cloud SMS" อย่างไรก็ตาม โครงสร้างพื้นฐาน และกลยุทธ์การโจมตียังคงไม่เปลี่ยนแปลง
การฝังมัลแวร์
Trend Micro ยังไม่ได้อธิบายเกี่ยวกับรายละเอียดวิธีการของ Lemon Group ที่ใช้ในการติดตั้งเฟิร์มแวร์ที่เป็นอันตรายรวมไปถึง Guerilla แต่ระบุว่าอุปกรณ์ที่นักวิเคราะห์ของพวกเขาได้ตรวจสอบนั้นพบว่าได้รับการเขียนระบบเปิดใช้งานใหม่ (re-flashed) ลงบน ROM ของอุปกรณ์เหล่านั้น
นักวิเคราะห์ระบุว่ามี ROM มากกว่า 50 รายการนั้นมีการติด Malware loader หรือตัวโหลดมัลแวร์ โดยเป้าหมายเป็นผู้ผลิตอุปกรณ์ Android ต่าง ๆ
นักวิจัยเปิดเผยข้อมูลภายในงาน Black Hat talk ของ Trend Micro ว่า "กลุ่มอาชญากรทางไซเบอร์ได้ติดตั้งมัลแวร์ไปยังอุปกรณ์ Android หลายล้านเครื่อง ซึ่งส่วนใหญ่เป็นโทรศัพท์มือถือ แต่ยังรวมถึงนาฬิกาอัจฉริยะ สมาร์ททีวี และอื่น ๆ" คำอธิบาย
"ปฏิบัติการดังกล่าว ทำให้อุปกรณ์เหล่านี้กลายเป็นพร็อกซีบนมือถือ, เครื่องมือสำหรับการขโมย และขายข้อความ SMS, โซเชียลมีเดีย, บัญชีการส่งข้อความออนไลน์, การสร้างรายได้ผ่านโฆษณา และ click fraud"
วิธีที่เป็นไปได้ในการโจมตีนี้คือ supply chain attacks ด้วยการโจมตีไปที่ซอฟต์แวร์ของ third-party, โจมตีกระบวนการอัปเดตเฟิร์มแวร์ หรือใช้บุคลากรภายในของผู้ผลิต หรือ ผู้จัดจำหน่ายสินค้าเอง
Trend Micro ระบุว่าในตอนแรกพวกเขาซื้อโทรศัพท์ Android และแยก "ROM image" ออกมาเพื่อค้นหาเฟิร์มแวร์ที่ถูกแก้ไขโดย Lemon Group
อุปกรณ์ดังกล่าวมีการปรับแต่งในไลบรารีระบบ 'libandroid_runtime.so' เพื่อใช้สำหรับรวมรหัสที่จะถอดรหัส และเรียกใช้ไฟล์ DEX
โค้ดของไฟล์ DEX จะถูกโหลดลงในหน่วยความจำ และถูกประมวลผลโดย Android Runtime เพื่อเปิดใช้งานปลั๊กอินหลักที่ถูกใช้โดยผู้โจมตีชื่อ "Sloth" และยังให้การกำหนดค่าซึ่งประกอบด้วยโดเมนของกลุ่ม Lemon ที่ใช้สำหรับการสื่อสารกับ C2 Server
มัลแวร์ Guerrilla
ปลั๊กอินหลักสำหรับมัลแวร์ Guerrilla จะโหลดปลั๊กอินเพิ่มเติมที่มีไว้สำหรับใช้งานฟังก์ชันเฉพาะ ได้แก่
SMS Plugin: ดักจับ OTP สำหรับ WhatsApp, JingDong และ Facebook ที่ได้รับทาง SMS
Proxy Plugin: ติดตั้ง reverse proxy จากโทรศัพท์ที่ติดมัลแวร์เพื่อให้ผู้โจมตีใช้ทรัพยากรเครือข่ายของเหยื่อ
Cookie Plugin: คัดลอกคุกกี้ของ Facebook จากไดเร็กทอรีข้อมูลแอป และส่งข้อมูลเหล่านั้นไปยังเซิร์ฟเวอร์ C2 นอกจากนี้ยังขโมยเซสชัน WhatsApp
Splash Plugin: แสดงโฆษณารบกวนเหยื่อเมื่อพวกเขาใช้แอปพลิเคชัน
Silent Plugin: ติดตั้ง APK เพิ่มเติม หรือถอนการติดตั้งแอปพลิเคชันที่มีอยู่ ตามคำสั่งที่ได้รับจากเซิร์ฟเวอร์ C2 โดยการติดตั้ง และการเปิดใช้งานนั้นจะเป็นการทำงานเบื่องหลัง
ฟังก์ชันเหล่านี้ช่วยให้ Lemon Group สามารถสร้างกลยุทธ์เพื่อหารายได้จากหลากหลายวิธี ซึ่งอาจรวมถึงการขายบัญชีที่ยึดมาได้, การยึดครองทรัพยากรเครือข่าย, การให้บริการติดตั้งแอปพลิเคชัน, การแสดงโฆษณาปลอม, เสนอบริการพร็อกซี และบริการ SMS Phone Verified Accounts (PVA)
ผลกระทบทั่วโลก
Trend Micro รายงานว่า ก่อนหน้านี้ Lemon Group ได้ประกาศบนเว็บไซต์ของตนว่าได้เข้าควบคุมอุปกรณ์จำนวนเกือบเก้าล้านเครื่องที่กระจายอยู่ใน 180 ประเทศ ประเทศที่ได้รับผลกระทบมากที่สุดประกอบด้วยสหรัฐอเมริกา เม็กซิโก อินโดนีเซีย ประเทศไทย และรัสเซีย
"นอกจากนี้ Trend Micro ยืนยันว่ามีอุปกรณ์ที่ติดมัลแวร์หลายล้านเครื่องที่ใช้งานทั่วโลก ซึ่งคลัสเตอร์หลักของอุปกรณ์เหล่านี้อยู่ในเอเชียตะวันออกเฉียงใต้ และยุโรปตะวันออก ซึ่งเหตุการณ์นี้ถือเป็นปัญหาระดับโลกอย่างแท้จริง"
Trend Micro แนะนำว่าจำนวนจริงของอุปกรณ์ Android ที่ติด Guerrilla อาจสูงกว่านี้ อย่างไรก็ตาม อุปกรณ์เหล่านั้นยังไม่ได้สื่อสารกับเซิร์ฟเวอร์ C2 เนื่องจากอุปกรณ์เหล่านั้นยังอยู่ระหว่างรอการถูกซื้อ
นักวิเคราะห์ตรวจพบหมายเลขโทรศัพท์มือถือกว่า 490,000 หมายเลขที่ใช้สำหรับสร้างคำขอ OTP สำหรับใช้บริการ SMS PVA จาก JingDong, WhatsApp, Facebook, QQ, Line, Tinder และแพลตฟอร์มอื่น ๆ
มีการยืนยันว่าอุปกรณ์ที่ถูกโจมตีกว่าครึ่งล้านเครื่องมีการเชื่อมต่อกับ service ที่ให้บริการโดยอาชญากรไซเบอร์ ซึ่งสิ่งนี้ชี้ให้เห็นว่าการโจมตีครั้งนี้เป็นอันตรายอย่างมาก และมันส่งผลกระทบทั่วโลก
Bleeping Computer สอบถามข้อมูลกับ Trend Micro ว่า พวกเขาซื้อโทรศัพท์ที่ติดมัลแวร์เหล่านี้มาจากที่ใด หรือมีการขายอย่างไร และแบรนด์ใดบ้างที่ได้รับผลกระทบ แต่ยังไม่ได้รับคำตอบกลับมา
ที่มา : www.bleepingcomputer.com