Threat actor menguasai jutaan smartphone yang didistribusikan melalui malware yang sudah diinstal sebelumnya dengan Lemon Group dan memuat malware Guerilla di perangkat. Kampanye telah aktif sejak 2018 dan penyerang mengubah nama operasinya dari Lemon menjadi Durian Cloud SMS. Hal ini memungkinkan threat actor untuk memantau pelanggan yang terinfeksi dengan aplikasi lain seperti menampilkan iklan kepada pengguna aplikasi wilayah tertentu. Analisis malware Guerilla dilakukan dengan mengakuisisi telepon dan mengekstrak gambar ROM. Durian Cloud SMS menggunakan impan yang memuat pengunduh sebagai plugin utama untuk mengambil dan menjalankan plugin lainnya, sementara plugin sekunder berfungsi untuk menangkap pesan SMS (OTP) untuk WhatsApp/Facebook dan menyiapkan proxy terbalik. Infeksi ini menyoroti risiko terhadap privasi pengguna yang ditimbulkan oleh merek peniru perangkat premium sehingga untuk mengurangi risiko, pengguna harus selalu membeli smartphone dari merek asli bukan peniru.
Sumber : https://cyware.com/news/guerrilla-campaign-lemon-groups-business-of-pre-infected-devices-e630d261
Sumber : https://cyware.com/news/guerrilla-campaign-lemon-groups-business-of-pre-infected-devices-e630d261