PEACHPIT Botnet

PEACHPIT로 알려진 사기 봇넷은 수십만 대의 Android 및 iOS 장치를 사용하여 이러한 불법 작업에 책임이 있는 개인에게 불법적인 이익을 창출하도록 조율했습니다. 이 봇넷은 유명한 온라인 소매업체 및 재판매 플랫폼을 통해 브랜드 외 모바일 및 커넥티드 TV(CTV) 장치를 판매하는 BADBOX라고 하는 중국에 기반을 둔 광범위한 활동의 한 구성 요소일 뿐입니다. 이러한 장치는 Triada 로 알려진 Android 악성 코드 변종에 의해 손상되었습니다.

PEACHPIT 봇넷과 관련된 애플리케이션 네트워크는 무려 227개 국가 및 지역에서 탐지되었습니다. 최고조에 달했을 때는 하루에 약 121,000대의 Android 기기와 하루에 159,000대의 iOS 기기를 제어했습니다.

수백 가지의 다양한 Android 장치 유형에 영향을 미치는 광범위한 공격 캠페인

감염은 1,500만 번 이상 다운로드되고 설치된 39개의 애플리케이션 모음에 의해 촉진되었습니다. BADBOX 악성 코드에 감염된 장치는 운영자에게 민감한 정보를 훔치고 주거용 프록시 출구 지점을 설정하고 이러한 사기성 애플리케이션을 통해 광고 사기에 참여할 수 있는 기능을 제공했습니다.

펌웨어 백도어로 Android 기기를 손상시키는 정확한 방법은 현재로서는 불분명합니다. 그러나 중국 제조업체와 관련된 잠재적인 하드웨어 공급망 공격을 지적하는 증거가 있습니다. 위협 행위자는 이러한 손상된 장치를 사용하여 장치에 저장된 일회용 비밀번호를 훔쳐 WhatsApp 메시징 계정을 생성할 수 있습니다. 또한 사이버 범죄자는 이러한 장치를 사용하여 Gmail 계정을 설정하고 일반적인 봇 탐지 메커니즘을 효과적으로 우회할 수 있습니다. 이러한 계정은 실제 사용자가 표준 태블릿이나 스마트폰에서 생성한 것처럼 보이기 때문입니다.

특히 우려되는 점은 휴대폰, 태블릿, 연결된 TV 제품을 포함한 200가지가 넘는 다양한 유형의 Android 기기에서 BADBOX 감염 징후가 나타났다는 것입니다. 이는 위협 행위자가 조직한 광범위하고 광범위한 작전을 의미합니다.

위협 행위자가 PEACHPIT 봇넷을 수정할 수 있음

광고 사기 수법의 주목할만한 측면 중 하나는 Android 및 iOS 플랫폼용으로 설계된 위조 애플리케이션을 활용하는 것입니다. 이러한 사기성 앱은 Google Play Store, Apple App Store 등 주요 애플리케이션 마켓플레이스를 통해 배포되며 손상된 BADBOX 기기에도 자동으로 다운로드됩니다. 이러한 Android 애플리케이션에는 숨겨진 WebView 생성을 담당하는 모듈이 있습니다. 이러한 숨겨진 WebView는 이후에 요청하고, 광고를 표시하고, 광고 클릭을 시뮬레이션하는 데 사용되며, 이러한 모든 작업은 합법적인 애플리케이션에서 발생한 것으로 위장합니다.

Apple과 Google은 사이버 보안 전문가와 협력하여 이 작업을 방해하는 데 상당한 진전을 이루었습니다. 2023년 초에 출시된 업데이트는 2022년 11월에 구현된 완화 노력에 대한 대응으로 BADBOX에 감염된 장치에서 PEACHPIT에 전원을 공급하는 모듈을 효과적으로 제거하는 것으로 확인되었습니다. 그러나 공격자가 다음을 시도하기 위해 전술을 조정하고 있다는 의혹이 있습니다. 이러한 방어를 피하십시오.