PEACHPIT Botnet

Krāpniecisks robottīkls, kas pazīstams kā PEACHPIT, organizēja simtiem tūkstošu Android un iOS ierīču izmantošanu, lai radītu nelikumīgu peļņu personām, kuras ir atbildīgas par šo nelikumīgo darbību. Šis robottīkls ir tikai viens komponents plašākai darbībai, kas atrodas Ķīnā, saukta par BADBOX, kas ietver ārpus zīmola mobilo un savienoto TV (CTV) ierīču pārdošanu, izmantojot populārus tiešsaistes mazumtirgotājus un tālākpārdošanas platformas. Šīs ierīces ir apdraudētas ar Android ļaunprātīgas programmatūras celmu, kas pazīstams kā Triada .

Lietojumprogrammu tīkls, kas saistīts ar PEACHPIT robottīklu, tika atklāts 227 valstīs un teritorijās. Savā maksimumā tas kontrolēja aptuveni 121 000 Android ierīču dienā un 159 000 iOS ierīču dienā.

Plaši izplatīta uzbrukuma kampaņa, kas ietekmē simtiem dažādu Android ierīču veidu

Infekciju veicināja 39 lietojumprogrammu kolekcija, kuras tika lejupielādētas un instalētas vairāk nekā 15 miljonus reižu. Ierīces, kas inficētas ar BADBOX ļaunprātīgu programmatūru, nodrošināja operatoriem iespēju nozagt sensitīvu informāciju, izveidot dzīvojamo starpniekservera izejas punktus un iesaistīties reklāmu krāpniecībā, izmantojot šīs maldinošās lietojumprogrammas.

Precīza metode Android ierīču kompromitēšanai ar programmaparatūras aizmugures durvīm pašlaik joprojām nav skaidra. Tomēr ir pierādījumi, kas norāda uz iespējamu aparatūras piegādes ķēdes uzbrukumu, kas saistīts ar Ķīnas ražotāju. Izmantojot šīs apdraudētās ierīces, draudu dalībnieki var izveidot WhatsApp ziņojumapmaiņas kontus, izkrāpjot ierīcēs saglabātās vienreizējās paroles. Turklāt kibernoziedznieki var izmantot šīs ierīces, lai izveidotu Gmail kontus, efektīvi apejot tipiskus robotu noteikšanas mehānismus, jo šķiet, ka īsts lietotājs šos kontus ir izveidojis no standarta planšetdatora vai viedtālruņa.

Īpaši satraucoši ir tas, ka vairāk nekā 200 dažādu veidu Android ierīcēm, tostarp mobilajiem tālruņiem, planšetdatoriem un savienotiem TV produktiem, ir BADBOX infekcijas pazīmes. Tas liecina par plaši izplatītu un plašu operāciju, ko organizēja apdraudējuma dalībnieki.

Draudu dalībnieki var modificēt PEACHPIT robottīklu

Viens ievērojams reklāmu krāpšanas shēmas aspekts ir viltotu lietojumprogrammu izmantošana, kas paredzēta Android un iOS platformām. Šīs krāpnieciskās lietotnes tiek izplatītas, izmantojot lielākos lietojumprogrammu tirgus, tostarp Google Play veikalu un Apple App Store, un tās tiek automātiski lejupielādētas arī apdraudētās BADBOX ierīcēs. Šajās Android lietojumprogrammās ir modulis, kas atbild par slēpto WebView ģenerēšanu. Šie slēptie tīmekļa skati pēc tam tiek izmantoti, lai veiktu pieprasījumus, parādītu reklāmas un simulētu klikšķus uz reklāmām, vienlaikus maskējot šīs darbības kā no likumīgām lietojumprogrammām.

Sadarbojoties ar kiberdrošības ekspertiem, gan Apple, gan Google ir guvuši ievērojamus panākumus šīs darbības traucēšanā. Ir konstatēts, ka 2023. gadā ieviestais atjauninājums efektīvi noņem moduļus, kas darbina PEACHPIT ierīcēs, kuras ir inficētas ar BADBOX, reaģējot uz 2022. gada novembrī īstenotajiem mazināšanas pasākumiem. Tomēr pastāv aizdomas, ka uzbrucēji pielāgo savu taktiku, cenšoties izvairīties no šīs aizsardzības.