Botnet PEACHPIT

Podvodný botnet známý jako PEACHPIT zorganizoval použití stovek tisíc zařízení Android a iOS k vytvoření nezákonných zisků pro jednotlivce odpovědné za tuto nezákonnou operaci. Tento botnet je pouze jednou složkou širší operace se sídlem v Číně, označované jako BADBOX, která zahrnuje prodej neznačkových mobilních a připojených televizních (CTV) zařízení prostřednictvím oblíbených online prodejců a platforem pro další prodej. Tato zařízení jsou kompromitována kmenem malwaru Android známým jako Triada .

Síť aplikací spojených s botnetem PEACHPIT byla detekována v ohromujících 227 zemích a územích. V době svého vrcholu kontroloval přibližně 121 000 zařízení s Androidem denně a 159 000 zařízení s iOS denně.

Rozsáhlá útočná kampaň ovlivňující stovky různých typů zařízení Android

Infekci usnadnila sbírka 39 aplikací, které byly staženy a nainstalovány více než 15 milionůkrát. Zařízení infikovaná malwarem BADBOX poskytla operátorům možnost ukrást citlivé informace, zřídit výstupní body rezidenčního proxy a zapojit se do podvodů s reklamami prostřednictvím těchto podvodných aplikací.

Přesný způsob kompromitace zařízení Android pomocí backdoor firmwaru zůstává v současnosti nejasný. Existují však důkazy poukazující na potenciální útok na hardwarový dodavatelský řetězec spojený s čínským výrobcem. Pomocí těchto napadených zařízení mohou aktéři hrozeb vytvářet účty pro zasílání zpráv WhatsApp krádeží jednorázových hesel uložených na zařízeních. Kromě toho mohou kyberzločinci tato zařízení použít k nastavení účtů Gmail, čímž se účinně obejdou mechanismy typické pro detekci botů, protože tyto účty se zdají být vytvořeny ze standardního tabletu nebo smartphonu skutečným uživatelem.

Zvláště znepokojivé je, že více než 200 různých typů zařízení Android, včetně mobilních telefonů, tabletů a produktů připojených k televizi, vykazovalo známky infekce BADBOX. To naznačuje rozsáhlou a rozsáhlou operaci řízenou aktéry hrozeb.

Aktéři hrozeb mohou upravit botnet PEACHPIT

Jedním z pozoruhodných aspektů schématu podvodů s reklamami je používání padělaných aplikací navržených pro platformy Android a iOS. Tyto podvodné aplikace jsou distribuovány prostřednictvím hlavních tržišť aplikací, včetně Google Play Store a Apple App Store, a jsou také automaticky stahovány do napadených zařízení BADBOX. V těchto aplikacích pro Android leží modul zodpovědný za generování skrytých WebViews. Tato skrytá WebView jsou následně využívána k vytváření požadavků, zobrazování reklam a simulaci kliknutí na reklamu, a to vše při maskování těchto akcí jako pocházejících z legitimních aplikací.

Ve spolupráci s odborníky na kybernetickou bezpečnost udělaly Apple i Google významný pokrok v narušení této operace. Aktualizace vydaná dříve v roce 2023 byla identifikována jako účinně odstraňující moduly, které napájejí PEACHPIT na zařízeních infikovaných BADBOX, v reakci na zmírňující snahy implementované v listopadu 2022. Existuje však podezření, že útočníci přizpůsobují svou taktiku ve snaze vyhnout se této obraně.