PEACHPIT Botnet

Ένα δόλιο botnet γνωστό ως PEACHPIT ενορχήστρωσε τη χρήση εκατοντάδων χιλιάδων συσκευών Android και iOS για να δημιουργήσει παράνομα κέρδη για τα άτομα που ευθύνονται για αυτήν την παράνομη λειτουργία. Αυτό το botnet είναι μόνο ένα στοιχείο μιας ευρύτερης επιχείρησης με έδρα την Κίνα, που αναφέρεται ως BADBOX, η οποία περιλαμβάνει την πώληση κινητών και συνδεδεμένων συσκευών τηλεόρασης (CTV) εκτός επωνυμίας μέσω δημοφιλών διαδικτυακών καταστημάτων λιανικής και πλατφορμών μεταπώλησης. Αυτές οι συσκευές έχουν παραβιαστεί με ένα στέλεχος κακόβουλου λογισμικού Android γνωστό ως Triada .

Το δίκτυο εφαρμογών που σχετίζονται με το botnet PEACHPIT εντοπίστηκε σε εκπληκτικές 227 χώρες και περιοχές. Στο απόγειό της, έλεγχε περίπου 121.000 συσκευές Android την ημέρα και 159.000 συσκευές iOS την ημέρα.

Μια εκτεταμένη καμπάνια επίθεσης που επηρεάζει εκατοντάδες διαφορετικούς τύπους συσκευών Android

Οι μολύνσεις διευκολύνθηκαν από μια συλλογή 39 εφαρμογών, οι οποίες κατεβάστηκαν και εγκαταστάθηκαν περισσότερες από 15 εκατομμύρια φορές. Οι συσκευές που έχουν μολυνθεί με το κακόβουλο λογισμικό BADBOX παρείχαν στους χειριστές τη δυνατότητα να κλέψουν ευαίσθητες πληροφορίες, να δημιουργήσουν οικιακά σημεία εξόδου μεσολάβησης και να συμμετάσχουν σε απάτη διαφημίσεων μέσω αυτών των παραπλανητικών εφαρμογών.

Η ακριβής μέθοδος παραβίασης συσκευών Android με backdoor υλικολογισμικού παραμένει προς το παρόν ασαφής. Ωστόσο, υπάρχουν στοιχεία που δείχνουν μια πιθανή επίθεση στην αλυσίδα εφοδιασμού υλικού που συνδέεται με έναν Κινέζο κατασκευαστή. Χρησιμοποιώντας αυτές τις παραβιασμένες συσκευές, οι φορείς απειλών μπορούν να δημιουργήσουν λογαριασμούς μηνυμάτων WhatsApp κλέβοντας κωδικούς πρόσβασης μιας χρήσης που είναι αποθηκευμένοι στις συσκευές. Επιπλέον, οι εγκληματίες του κυβερνοχώρου μπορούν να χρησιμοποιήσουν αυτές τις συσκευές για να δημιουργήσουν λογαριασμούς Gmail, παρακάμπτοντας ουσιαστικά τυπικούς μηχανισμούς ανίχνευσης bot, καθώς αυτοί οι λογαριασμοί φαίνεται να δημιουργούνται από ένα τυπικό tablet ή smartphone από έναν γνήσιο χρήστη.

Αυτό που είναι ιδιαίτερα ανησυχητικό είναι ότι πάνω από 200 διαφορετικοί τύποι συσκευών Android, συμπεριλαμβανομένων κινητών τηλεφώνων, tablet και συνδεδεμένων προϊόντων τηλεόρασης, έχουν δείξει σημάδια μόλυνσης από το BADBOX. Αυτό υποδηλώνει μια ευρεία και εκτεταμένη επιχείρηση ενορχηστρωμένη από τους παράγοντες της απειλής.

Οι ηθοποιοί απειλών ενδέχεται να τροποποιήσουν το botnet PEACHPIT

Μια αξιοσημείωτη πτυχή του συστήματος απάτης με διαφημίσεις περιλαμβάνει τη χρήση πλαστών εφαρμογών που έχουν σχεδιαστεί για πλατφόρμες Android και iOS. Αυτές οι δόλιες εφαρμογές διανέμονται μέσω μεγάλων αγορών εφαρμογών, συμπεριλαμβανομένων του Google Play Store και του Apple App Store, και επίσης γίνονται αυτόματα λήψη σε παραβιασμένες συσκευές BADBOX. Μέσα σε αυτές τις εφαρμογές Android βρίσκεται μια ενότητα υπεύθυνη για τη δημιουργία κρυφών προβολών Web. Αυτά τα κρυφά WebView στη συνέχεια χρησιμοποιούνται για την υποβολή αιτημάτων, την προβολή διαφημίσεων και την προσομοίωση κλικ σε διαφημίσεις, ενώ συγκαλύπτουν αυτές τις ενέργειες ως προερχόμενες από νόμιμες εφαρμογές.

Σε συνεργασία με ειδικούς στον τομέα της κυβερνοασφάλειας, τόσο η Apple όσο και η Google έχουν κάνει σημαντικά βήματα στην παρεμπόδιση αυτής της λειτουργίας. Μια ενημέρωση που κυκλοφόρησε νωρίτερα το 2023 έχει εντοπιστεί ότι αφαιρεί αποτελεσματικά τις μονάδες που τροφοδοτούν το PEACHPIT σε συσκευές που έχουν μολυνθεί με BADBOX, ως απάντηση στις προσπάθειες μετριασμού που εφαρμόστηκαν τον Νοέμβριο του 2022. Ωστόσο, υπάρχουν υποψίες ότι οι επιτιθέμενοι προσαρμόζουν τις τακτικές τους σε μια προσπάθεια αποφύγει αυτές τις άμυνες.