PEACHPIT Botnet

Измамна ботнет, известна като PEACHPIT, организира използването на стотици хиляди устройства с Android и iOS за генериране на незаконни печалби за лицата, отговорни за тази незаконна операция. Този ботнет е само един компонент от по-широка операция, базирана в Китай, наричана BADBOX, която включва продажба на мобилни и свързани телевизионни (CTV) устройства извън марката чрез популярни онлайн търговци на дребно и платформи за препродажба. Тези устройства са компрометирани със зловреден софтуер за Android, известен като Triada .

Мрежата от приложения, свързани с ботнета PEACHPIT, беше открита в зашеметяващите 227 държави и територии. В своя пик той контролира приблизително 121 000 устройства с Android на ден и 159 000 устройства с iOS на ден.

Широкоразпространена кампания за атака, засягаща стотици различни типове Android устройства

Инфекциите бяха улеснени от колекция от 39 приложения, които бяха изтеглени и инсталирани над 15 милиона пъти. Устройствата, заразени със зловреден софтуер BADBOX, предоставиха на операторите възможност да откраднат чувствителна информация, да установят изходни точки за жилищни прокси сървъри и да участват в рекламни измами чрез тези измамни приложения.

Точният метод за компрометиране на устройства с Android с бекдор на фърмуера остава неясен в момента. Въпреки това има доказателства, сочещи потенциална атака по веригата за доставки на хардуер, свързана с китайски производител. Използвайки тези компрометирани устройства, заплахите могат да създават акаунти за съобщения в WhatsApp, като крадат еднократни пароли, съхранени на устройствата. Освен това киберпрестъпниците могат да използват тези устройства, за да настроят акаунти в Gmail, ефективно заобикаляйки типичните механизми за откриване на ботове, тъй като тези акаунти изглеждат създадени от стандартен таблет или смартфон от истински потребител.

Това, което е особено тревожно, е, че над 200 различни типа устройства с Android, включително мобилни телефони, таблети и свързани телевизионни продукти, показват признаци на инфекция с BADBOX. Това предполага широко разпространена и мащабна операция, организирана от участниците в заплахата.

Актьорите на заплахи могат да променят ботнета на PEACHPIT

Един забележителен аспект на схемата за рекламни измами включва използването на фалшиви приложения, предназначени за платформи Android и iOS. Тези измамни приложения се разпространяват чрез големи пазари на приложения, включително Google Play Store и Apple App Store, и също така се изтеглят автоматично на компрометирани BADBOX устройства. В рамките на тези приложения за Android се крие модул, отговорен за генерирането на скрити уеб изгледи. Тези скрити WebView впоследствие се използват за отправяне на заявки, показване на реклами и симулиране на кликвания върху реклами, като същевременно прикриват тези действия като произхождащи от законни приложения.

Работейки в сътрудничество с експерти по киберсигурност, както Apple, така и Google направиха значителни крачки в прекъсването на тази операция. Актуализация, пусната по-рано през 2023 г., е идентифицирана като ефективно премахваща модулите, които захранват PEACHPIT на устройства, заразени с BADBOX, в отговор на усилията за смекчаване, приложени през ноември 2022 г. Има обаче подозрения, че нападателите адаптират тактиката си в опит да избягвайте тези защити.