PEACHPIT Botnet
Isang mapanlinlang na botnet na kilala bilang PEACHPIT ang nag-orkestra sa paggamit ng daan-daang libong mga Android at iOS device upang makabuo ng labag sa batas na kita para sa mga indibidwal na responsable para sa ipinagbabawal na operasyong ito. Ang botnet na ito ay isa lamang bahagi ng isang mas malawak na operasyon na nakabase sa China, na tinutukoy bilang BADBOX, na kinabibilangan ng pagbebenta ng mga off-brand na mobile at konektadong TV (CTV) na mga device sa pamamagitan ng mga sikat na online retailer at resale platform. Ang mga device na ito ay nakompromiso sa isang Android malware strain na kilala bilang Triada .
Ang network ng mga application na nauugnay sa PEACHPIT botnet ay nakita sa isang nakakagulat na 227 bansa at teritoryo. Sa kasagsagan nito, kinokontrol nito ang humigit-kumulang 121,000 Android device bawat araw at 159,000 iOS device bawat araw.
Isang Laganap na Attack Campaign na Nakakaapekto sa Daan-daang Iba't Ibang Uri ng Android Device
Ang mga impeksyon ay pinadali ng isang koleksyon ng 39 na mga application, na na-download at na-install nang higit sa 15 milyong beses. Ang mga device na nahawaan ng malware ng BADBOX ay nagbigay sa mga operator ng kakayahang magnakaw ng sensitibong impormasyon, magtatag ng mga residential proxy exit point, at makisali sa ad fraud sa pamamagitan ng mga mapanlinlang na application na ito.
Ang eksaktong paraan ng pagkompromiso sa mga Android device na may firmware na backdoor ay nananatiling hindi maliwanag sa kasalukuyan. Gayunpaman, mayroong katibayan na tumuturo sa isang potensyal na pag-atake sa supply chain ng hardware na naka-link sa isang tagagawa ng China. Gamit ang mga nakompromisong device na ito, nakakagawa ang mga threat actor ng mga WhatsApp messaging account sa pamamagitan ng pagnanakaw ng isang beses na password na nakaimbak sa mga device. Higit pa rito, maaaring gamitin ng mga cybercriminal ang mga device na ito upang mag-set up ng mga Gmail account, na epektibong lumalampas sa mga tipikal na mekanismo ng pag-detect ng bot, dahil ang mga account na ito ay lumilitaw na nilikha mula sa karaniwang tablet o smartphone ng isang tunay na user.
Ang partikular na nababahala ay ang higit sa 200 iba't ibang uri ng mga Android device, kabilang ang mga mobile phone, tablet, at konektadong produkto sa TV, ay nagpakita ng mga palatandaan ng impeksyon sa BADBOX. Ito ay nagmumungkahi ng isang malawak at malawak na operasyon na inayos ng mga aktor ng pagbabanta.
Maaaring Baguhin ng Mga Aktor ng Banta ang PEACCHPIT Botnet
Ang isang kapansin-pansing aspeto ng scheme ng ad fraud ay kinabibilangan ng paggamit ng mga pekeng application na idinisenyo para sa mga platform ng Android at iOS. Ang mga mapanlinlang na app na ito ay ipinamamahagi sa pamamagitan ng mga pangunahing marketplace ng application kabilang ang Google Play Store at ang Apple App Store, at awtomatiko din itong dina-download sa mga nakompromisong BADBOX na device. Sa loob ng mga Android application na ito ay mayroong isang module na responsable para sa pagbuo ng mga nakatagong WebView. Ang mga nakatagong WebView na ito ay kasunod na ginagamit upang gumawa ng mga kahilingan, magpakita ng mga ad, at gayahin ang mga pag-click sa ad, habang itinago ang mga pagkilos na ito bilang nagmula sa mga lehitimong aplikasyon.
Sa pakikipagtulungan sa mga eksperto sa cybersecurity, parehong nakagawa ang Apple at Google ng makabuluhang hakbang sa pag-abala sa operasyong ito. Ang isang pag-update na inilunsad noong unang bahagi ng 2023 ay natukoy na epektibong nag-aalis sa mga module na nagpapagana sa PEACHPIT sa mga device na nahawaan ng BADBOX, bilang tugon sa mga pagsusumikap sa pagpapagaan na ipinatupad noong Nobyembre 2022. Gayunpaman, may mga hinala na inaangkop ng mga umaatake ang kanilang mga taktika sa pagsisikap na iwasan ang mga depensang ito.
