PEACHPIT Botnet

Una botnet fraudulenta coneguda com PEACHPIT va orquestrar l'ús de centenars de milers de dispositius Android i iOS per generar beneficis il·legals per a les persones responsables d'aquesta operació il·lícita. Aquesta botnet és només un component d'una operació més àmplia amb seu a la Xina, anomenada BADBOX, que implica la venda de dispositius mòbils i de televisió connectada (CTV) fora de marca a través de minoristes en línia populars i plataformes de revenda. Aquests dispositius estan compromesos amb una varietat de programari maliciós d'Android coneguda com Triada .

La xarxa d'aplicacions associades a la botnet PEACHPIT es va detectar en 227 països i territoris sorprenents. En el seu punt àlgid, controlava aproximadament 121.000 dispositius Android al dia i 159.000 dispositius iOS al dia.

Una campanya d'atac generalitzada que afecta centenars de diferents tipus de dispositius Android

Les infeccions es van facilitar amb una col·lecció de 39 aplicacions, que es van descarregar i instal·lar més de 15 milions de vegades. Els dispositius infectats amb el programari maliciós BADBOX van proporcionar als operadors la capacitat de robar informació confidencial, establir punts de sortida de proxy residencials i participar en fraus publicitaris mitjançant aquestes aplicacions enganyoses.

El mètode exacte per comprometre els dispositius Android amb una porta posterior de microprogramari encara no està clar. Tanmateix, hi ha proves que apunten a un possible atac a la cadena de subministrament de maquinari vinculat a un fabricant xinès. Amb aquests dispositius compromesos, els actors d'amenaces poden crear comptes de missatgeria de WhatsApp robant contrasenyes d'un sol ús emmagatzemades als dispositius. A més, els ciberdelinqüents poden utilitzar aquests dispositius per configurar comptes de Gmail, evitant efectivament els mecanismes típics de detecció de bots, ja que aquests comptes semblen ser creats des d'una tauleta o telèfon intel·ligent estàndard per un usuari genuí.

El que és especialment preocupant és que més de 200 tipus diferents de dispositius Android, inclosos telèfons mòbils, tauletes i productes de televisió connectats, han mostrat signes d'infecció per BADBOX. Això suggereix una operació àmplia i extensa orquestrada pels actors de l'amenaça.

Els actors d'amenaça poden modificar la botnet PEACHPIT

Un aspecte notable de l'esquema de frau publicitari implica la utilització d'aplicacions falsificades dissenyades per a plataformes Android i iOS. Aquestes aplicacions fraudulentes es distribueixen als principals mercats d'aplicacions, com ara Google Play Store i Apple App Store, i també es descarreguen automàticament als dispositius BADBOX compromesos. Dins d'aquestes aplicacions d'Android hi ha un mòdul encarregat de generar WebViews ocults. Aquestes WebViews ocultes s'utilitzen posteriorment per fer sol·licituds, mostrar anuncis i simular clics en anuncis, tot dissimulant aquestes accions com a originades d'aplicacions legítimes.

Treballant en col·laboració amb experts en ciberseguretat, tant Apple com Google han fet avenços significatius per interrompre aquesta operació. S'ha identificat una actualització llançada a principis de 2023 que elimina de manera efectiva els mòduls que alimenten PEACHPIT en dispositius infectats amb BADBOX, en resposta als esforços de mitigació implementats el novembre de 2022. No obstant això, hi ha sospita que els atacants estan adaptant les seves tàctiques per intentar eludir aquestes defenses.