Lemon Group

กลุ่มผู้ไม่ประสงค์ดี ติดตั้งมัลแวร์บน Android ล่วงหน้า

By admin News

Trend Micro มีรายงานผู้ไม่ประสงค์ดีทางไซเบอร์ที่เรียกว่า “Lemon Group”

Trend Micro มีรายงานว่ามีกลุ่มผู้ไม่ประสงค์ดีทางไซเบอร์ที่เรียกว่า “Lemon Group”
ได้ติดตั้งมัลแวร์ล่วงหน้าที่เรียกว่า ‘Guerilla’ บนอุปกรณ์ Android ในจำนวนเกือบ 9 ล้านเครื่อง
รวมถึงโทรศัพท์มือถือ, Smart Watches, Smart TV และกล่องทีวี
โดยความสามารถของมัลแวร์ Guerilla สามารถโหลดเพย์โหลดเพิ่มเติม, แอบดักจับรหัสผ่านแบบใช้ครั้งเดียว
จากข้อความ SMS, สามารถทำ Reverse Proxy ย้อนกลับจากอุปกรณ์ที่ติดมัลแวร์, Hijack WhatsApp Sessions
และอื่นๆ 

นักวิเคราะห์ระบุว่ามี ROM มากกว่า 50 รายการที่ติดมัลแวร์ตัว Downloader ในค่าเริ่มต้น ซึ่งเป้าหมายเป็นผู้ผลิตอุปกรณ์ Android ต่าง ๆ หลายล้านเครื่อง ซึ่งส่วนใหญ่เป็นโทรศัพท์มือถือ รวมถึง Smart Watches, Smart TV
และอื่นๆ วิธีการโจมตีผ่านทางซัพพลายเชน (Supply Chain Attacks) ด้วยการขโมยซอฟต์แวร์จากบุคคลที่สาม
หรือการเข้าถึงขั้นตอนการอัปเดตเฟิร์มแวร์ที่ถูกโจมตี
หรือการรวบรวมบุคลากรภายในที่เกี่ยวข้องกับกระบวนการผลิต หรือกระบวนการจัดจำหน่ายสินค้า 

ปลั๊กอินหลักสำหรับมัลแวร์ Guerrilla จะโหลดปลั๊กอินเสริมเพิ่มเติมที่เฉพาะเจาะจงในการดำเนินการฟังก์ชันที่เฉพาะเจาะจงต่าง ๆ ซึ่งรวมถึง: 

  • SMS Plugin: ดักจับรหัสผ่านครั้งเดียวสำหรับ WhatsApp, JingDong, และ Facebook ที่ได้รับทาง SMS 
  • Proxy Plugin: ตั้งค่าพร็อกซีกลับจากโทรศัพท์ที่ติดมันแวร์เพื่อให้ผู้โจมตีสามารถใช้ทรัพยากรเครือข่ายของเหยื่อได้ 
  • Cookie Plugin: Dumps Facebook cookies จากไดเรกทอรีข้อมูลแอปและส่งออกไปยังเซิร์ฟเวอร์ C2 โดยยังโจมตี WhatsApp Session เพื่อแพร่กระจายข้อความที่ไม่ต้องการจากอุปกรณ์ที่ถูกขโมย 
  • Splash Plugin: แสดงโฆษณารบกวนผู้เสียหายเมื่อเปิดใช้แอปพลิเคชัน 
  • Silent Plugin: ติดตั้งแอปพลิเคชันเสริมเพิ่มเติมที่ได้รับจากเซิร์ฟเวอร์ C2 หรือถอนการติดตั้งแอปพลิเคชันที่มีอยู่ตามคำสั่ง การติดตั้งและเปิดใช้แอปจะเป็น “โหมดเงียบ” ทำงานในพื้นหลัง 

การตรวจสอบการดำเนินการ นักวิเคราะห์พบว่ามีกว่า 490,000 เบอร์โทรศัพท์มือถือ
ที่ใช้สำหรับการสร้างคำขอรหัสผ่านครั้งเดียวสำหรับบริการ SMS PVA
จาก JingDong, WhatsApp, Facebook, QQ, Line, Tinder และแพลตฟอร์มอื่น ๆ 

คำแนะนำ 

  • ระวังเรื่องการดาวน์โหลดแอปพลิเคชันจากแหล่งที่ไม่น่าเชื่อถือ 
  • ตรวจสอบสิทธิ์ของแอปพลิเคชันที่ติดตั้ง 
  • ลบ Plugin ที่ไม่ได้ใช้งาน 
  • ควรอัปเดตระบบปฏิบัติการและแอปพลิเคชันของผู้ใช้อยู่เสมอ 
  • เปิดใช้งานการแจ้งเตือนและตรวจสอบความปลอดภัยของอุปกรณ์ 
  • ระมัดระวังในการแชร์ข้อมูลส่วนตัวและเข้าสู่ระบบออนไลน์ในอุปกรณ์ของผู้ใช้ 

Ref : https://www.bleepingcomputer.com/news/security/cybercrime-gang-pre-infects-millions-of-android-devices-with-malware/ 

 

Share