กลุ่มอาชญากรทางไซเบอร์ขนาดใหญ่ที่ถูกติดตามในชื่อ "Lemon Group" ถูกรายงานว่ามีการติดตั้งมัลแวร์ล่วงหน้าที่รู้จักกันในชื่อ "Guerilla" บนสมาร์ทโฟน นาฬิกา ทีวี และกล่องทีวีที่ใช้ระบบปฏิบัติการ Android เกือบ 9 ล้านเครื่อง

กลุ่มผู้ไม่หวังดีใช้ Guerilla เพื่อดาวน์โหลดเพย์โหลดที่ใช้ดักจับ OTP (One Time Password) ทาง SMS, ตั้งค่า Reverse Proxy จากอุปกรณ์ที่ติด Malware รวมไปถึงการขโมยเซสชั่น WhatApp และอื่น ๆ

จากรายงานของ Trend Micro ซึ่งนักวิเคราะห์ค้นพบองค์กรอาชญากรทางไซเบอร์ขนาดใหญ่ และนำเสนอรายละเอียดเกี่ยวกับปฏิบัติการของกลุ่มดังกล่าวในการประชุม BlackHat Asia เมื่อเร็ว ๆ นี้

Trend Micro พบว่ามีโทรจัน Triada ซึ่งเป็นโทรจันที่มุ่งเป้าโจมตีธนาคาร ได้ถูกติดตั้งไว้ล่วงหน้าในสมาร์ทโฟน Android 42 รุ่นจากแบรนด์จีนต้นทุนต่ำที่มีการจัดจำหน่ายผลิตภัณฑ์เหล่านั้นไปทั่วโลก

Trend Micro รายงานว่าพวกเขาพบปฏิบัติการของกลุ่ม Lemon Group ครั้งแรกในเดือนกุมภาพันธ์ พ.ศ. 2565 และไม่นานหลังจากนั้น กลุ่มดังกล่าวก็เปลี่ยนชื่อใหม่เป็น "Durian Cloud SMS" อย่างไรก็ตาม โครงสร้างพื้นฐาน และกลยุทธ์การโจมตียังคงไม่เปลี่ยนแปลง

การฝังมัลแวร์

Trend Micro ยังไม่ได้อธิบายเกี่ยวกับรายละเอียดวิธีการของ Lemon Group ที่ใช้ในการติดตั้งเฟิร์มแวร์ที่เป็นอันตรายรวมไปถึง Guerilla แต่ระบุว่าอุปกรณ์ที่นักวิเคราะห์ของพวกเขาได้ตรวจสอบนั้นพบว่าได้รับการเขียนระบบเปิดใช้งานใหม่ (re-flashed) ลงบน ROM ของอุปกรณ์เหล่านั้น

นักวิเคราะห์ระบุว่ามี ROM มากกว่า 50 รายการนั้นมีการติด Malware loader หรือตัวโหลดมัลแวร์ โดยเป้าหมายเป็นผู้ผลิตอุปกรณ์ Android ต่าง ๆ

นักวิจัยเปิดเผยข้อมูลภายในงาน Black Hat talk ของ Trend Micro ว่า "กลุ่มอาชญากรทางไซเบอร์ได้ติดตั้งมัลแวร์ไปยังอุปกรณ์ Android หลายล้านเครื่อง ซึ่งส่วนใหญ่เป็นโทรศัพท์มือถือ แต่ยังรวมถึงนาฬิกาอัจฉริยะ สมาร์ททีวี และอื่น ๆ" คำอธิบาย

"ปฏิบัติการดังกล่าว ทำให้อุปกรณ์เหล่านี้กลายเป็นพร็อกซีบนมือถือ, เครื่องมือสำหรับการขโมย และขายข้อความ SMS, โซเชียลมีเดีย, บัญชีการส่งข้อความออนไลน์, การสร้างรายได้ผ่านโฆษณา และ click fraud"

วิธีที่เป็นไปได้ในการโจมตีนี้คือ supply chain attacks ด้วยการโจมตีไปที่ซอฟต์แวร์ของ third-party, โจมตีกระบวนการอัปเดตเฟิร์มแวร์ หรือใช้บุคลากรภายในของผู้ผลิต หรือ ผู้จัดจำหน่ายสินค้าเอง

Trend Micro ระบุว่าในตอนแรกพวกเขาซื้อโทรศัพท์ Android และแยก "ROM image" ออกมาเพื่อค้นหาเฟิร์มแวร์ที่ถูกแก้ไขโดย Lemon Group

อุปกรณ์ดังกล่าวมีการปรับแต่งในไลบรารีระบบ 'libandroid_runtime.