Security | 23 May 2023

Malware Guerrilla Lemon grup dan Durian Indonesia masuk 10 daftar terbanyak terinfeksi



TrendMicro mendapatkan malware Guerrilla telah di install di ponsel Android pertama sejak 2018, dan itu aktivitas pertama yang terditeksi.

Guerilla pertama kali didokumentasikan oleh Sophos tahun 2018 ketika menemukan 15 aplikasi yang diunggah di Play Store yang memiliki fungsi untuk terlibat dalam penipuan klik dan bertindak sebagai pintu belakang (backdoor)

Setelah di selidiki terdapat satu file di sistem Android dengan nama libandroid_runtime.so, tapi sudah di rusak dengan menyuntikan fungsi println_native.

Fungsinya untuk mencatat atau sebagai Log.
Setelah itu kode berbahaya tersebut akan membuka file DEX yang berisi data dan memasukan ke memory Smartphone.

DEX file (SHA256: f43bb33f847486bb0989aa9d4ce427a10f24bf7dcacd68036eef11c82f77d61d) has domain of Lemon Group (js***[.]big******[.]com), as well as the main plugin called “Sloth.” The DEX file has a configuration written with channel name “BSL001,” which possibly stands for that domain.

BSL001 kemunginan sebagai kanal atau berupa singkatan sebuah domain.

Injeksi pada sistem smartphone terkait ke aktivitas kriminal dengan periklanan Lemon Group. Tapi ini bukan perusahaan biasa, melainkan grup untuk kejahatan dalam bentuk bisnis.

Perusahaan memanfaatkan atau menangani data besar, dan mengirim ke produsen sesuai kategori seperti waktu tayang, dan fokus untuk penguna aplikasi di wilayah tertentu.

Aktivitas grup ini ilegal, dengan memanfaatkan smartphone Android yang diinfeksi. Lalu digunakan untuk akvititas bisnis mereka.
Temuan itu dipresentasikan peneliti Fyodor Yarochkin, Zhengyu Dong, Vladimir Kropotov, dan Paul Pajares pada konferensi Black Hat Asia yang diadakan di Singapura Mei 2023.



Smartphone dapat di flash pada ROM seperti mendapatkan update Firmware, atau program yang di Preinstall dengan OS yang berbeda dari pabrikan.
Firmware ditujukan untuk para hobi, atau mereka yang ingin mengoprek, atau sebagai pengetahuan.

Pada tahun 2016, malware Tiada dilaporkan di injeksi pada perangkat Android.
Tahun 2019, Google mengkonfirmasi dari Vendor pihak ke 3 telah memodifikasi ROM smartphone tanpa ijin.
Tahun 2021, terditeksi SMS PV atau SMS dari telepon yang sudah terverifikasi menjadi Mobile Botnet. Grup kriminal tersebut bahkan sudah beroperasi sejak 2018.
Terakhir adalah Lemon Grup. Mengunakan teknik membajak smartphone / C&C ke server mereka, diperkirakan ada 2 grup berbeda untuk aktivitas Lemon.

Siapa yang menyebar.
Cara kerja Lemon Group mirip seperti Framework dari program Xposed yang biasanya untuk software tertentu tapi tidak berhubungan dengan malware.



Malware curi akun Facebook Whatapp Telegram

Inject malware terkait dengan beberapa aktivitas pada smartphone
Dan salah satu aktivitas adalah membajak nomor OTP, akun Facebook, Whatsapp.

Dibawah ini salah satu aktivitas malware yang disebarkan. Bukan seperti malware biasa, tapi informasi atau data akan dimanfaatkan bisnis mereka.

1) Plugin SMS: Mampu mencegat SMS yang diterima dan membaca pesan tertentu seperti kata sandi satu kali (OTP) dari berbagai platform seperti WhatsApp, JingDong (aplikasi belanja), dan Facebook. Plugin ini memberi SMS PVA, yang menyediakan nomor telepon dan fitur OTP untuk pelanggan mereka.

2) Plugin proxy dan penjual proxy: Dapat mengatur proxy terbalik dari ponsel yang terinfeksi dan menggunakan daya  perangkat seluler yang terpengaruh yang diganti ke DoveProxy mereka.

3) Plugin cookie/plugin WhatsApp/ plugin dan platform promosi terkait dengan beberapa aktivitas lain:

A. Plugin cookie terhubung ke aplikasi terkait Facebook dan mencegat aktivitas tertentu untuk meluncurkan acara (mis., daftar aktivitas aplikasi Facebook).
Cookie terkait Facebook dari direktori data aplikasi dan dikirim ke server C&C.
Plugin ini juga bisa memanen data lain seperti daftar Contact, profil, alamat email, dan lain-lain.

B. Plugin WhatsApp digunakan untuk membajak WhatsApp untuk mengirim pesan yang tidak diinginkan.
Keduanya digunakan untuk "pemasaran luar negeri" sehingga pelanggan dapat menggunakan akun Facebook yang disusupi dan meningkatkan platform pemasaran mereka dengan memposting di Facebook atas nama akun orang lain.
Mengingat ketatnya Facebook untuk mendaftar, dan akan di blokir bila memposting hal berbahaya.
Dengan postingan dari member yang sudah ada, tapi akun Facebook yang di bajak. Pemilik akun tidak tahu bahwa akun mereka sudah dibajak dan digunakan untuk postingan.

4) Plugin Splash: Kaitkan aplikasi populer untuk mencegat aktivitas tertentu seperti meluncurkan permintaan iklan.
Korban akan melihat iklan aneh yang tidak biasa ketika membuka aplikasi resmi yang sudah di install di perangkat mereka.

5) Plugin Silent: Ketika aktivitas apa pun memerlukan izin penginstalan.
Plugin ini menjalankan penginstalan silent dan meluncurkan aplikasi yang terinstal.

Saat TrendMicro menerbitkan penelitian tentang operasi Lemon Group pada Februari 2022, grup tersebut mengubah nama operasinya.


Bulan Mei 2022, mereka menghapus beberapa jejak "Lemon" dan mengganti namanya menjadi "Durian Cloud SMS".
Namun, server masih sama dan utuh.

Melalui pemantauan TrendMicro, telah mendeteksi lebih dari 490.000 nomor ponsel yang digunakan untuk permintaan OTP SMS Lemon dan, layanan SMS Durian.
Yang terkena Lemon SMS PVA menghasilkan OTP dari platform seperti JingDong, WhatsApp, Facebook, QQ, Line, dan Tinder, serta aplikasi lain.

Jumlah perangkat yang terinfeksi sekitar 8,9 juta yang didistribusikan secara global karena pelaku mengendalikan perangkat di lebih dari 180 negara.
Termasuk ke perangkat Smartphone, Smartwatch, Android TV sampai SmartTV.

10 negara teratas yang terkena dampak:
Amerika Serikat
Meksiko
Indonesia
Thailand
Rusia
Afrika Selatan
India
Angola
Filipina
Argentina

Untuk memeriksa, ada baiknya mencoba dan diberikan gratis untuk 14 hari dari aplikasi Antivirus dari Trend Micro



Artikel Lain

Mirip seperti botnet Mirai. Botnet Condi seperti sedang membangun pasukan hardware. Sementara target yang dicari adalah WIFI Router TP-Link Archer AX21. Bagi penguna perangkat tersebut dapat memperbarui Firmware. Sebelum WIFI Router yang dipakai, suatu saat terinfeksi malware

Asus release Firmware dan dapat di upgrade sendiri oleh penguna. Lihat di menu kanan atas dari setting Asus Wifi Router, notifikasi dapat di upgrade langsung. 19 model Asus WIFI Router perbaikan kerentanan, eksekusi yang dapat merusak memory atau di hijack. GT6, GT-AXE16000,  GT-AXE11000 PRO, GT-AXE11000, GT-AX6000, GS-AX3000, ZenWiFi XT9, RT-AX86U PRO, TUF-AX6000



Install Windows dan Office versi 10 hati hati mencari di jaringan P2P, satu grup Windows terinfeksi malware kripto. Infeksi masuk ke EFI, di awal Windows di Install. Program dapat berpindah dengan 3 bagian, dari tugas infeksi, mengambil malware dan mengeksekusi.

Program terminator yang dibuat aktor Spyboy, dapat menghentikan program keamanan, atau meloloskan untuk menonaktifkan diteksi antivirus. Tim Crowdstrike membagikan bagaiaman file tersebut setelah masuk ke system OS Windows. Bahkan 23 program keamanan dapat dinonaktifkan, dan 70 vendor antivrus hanya 1 yang menditeksi

Layanan security Dr.Web menemukan 9 aplikasi yang telah di download 5,8 juta kali. Tapi aplikasi tersebut mencuri akun login Facebook anda.  Google telah menghapus 9 aplikasi berbahaya tersebut, tapi sebagian sudah di download oleh penguna, terdiri dari aplikasi Android foto, olahraga, ramalan, dan kunci

Aplikasi untuk memata-matai smartphone di tendang lagi oleh Google. Dapat memata-matai keberadaan lokasi teman, pacar, anak anak atau karyawan. Setelah mendapat laporan dari Avast yang menemukan 4 aplikasi untuk memata-matai smartphone. Aplikasi sangat mudah di install,.Di smartphone akan berjalan tersembunyi tanpa diketahui pemilik ponsel.

2 peretas menghapus data server layanan aplikasi mata-mata. Karena dianggap tidak menghargai privasi remaja. Selain berbahaya, aplikasi mata-mata juga digunakan untuk memata-matai pacar dan rekan usaha.



Opera Max Data Saver dikeluarkan dari Google Play Store. Salah satu browser yang menjanjikan dapat menghemat bandwidth ketika smartphone browsing dengan paket data.. Tetapi Google memutuskan mengeluarkan Opera Max Data Saver dari daftar aplikasi dan dihentikan permanen.

Trend Micro menemukan trojan malware baru. Disebut Androidos_Xavier.AXM atau disingkat Xavier. Dari data aplikasi terlihat mengirim data ke sebuah server yang dikendalikan oleh aplikasi Android.

Malware sudah dimasukan sejak smartphone diterima pembeli. Beberapa model adalah merek ternama, dan malware tidak dapat dihapus. Tetapi malware tidak dibawa dari produsen, melainkan dimasukan oleh pihak ke tiga, dimana smartphone dimasukan malware.

Trend Micro menemukan 4 app store memberikan aplikasi Android untuk di download. Disebutkan ke 4 tempat untuk download aplikasi Android berbahaya tersebut adalah Aptoide, Mobogenie, mobile9 dan 9apps. Dari 1153 aplikasi yang ditemukan sudah disusup ANDROIDOS_ LIBSKIN.A. India paling banyak, dibawahnya dari Indonesia.


Youtube Obengplus


Trend
No popular articles found.