PEACHPIT Botnet

Et uredelig botnett kjent som PEACHPIT orkestrerte bruken av hundretusenvis av Android- og iOS-enheter for å generere ulovlig fortjeneste for personene som var ansvarlige for denne ulovlige operasjonen. Dette botnettet er bare en komponent i en bredere operasjon basert i Kina, referert til som BADBOX, som involverer salg av mobile og tilkoblede TV-enheter (CTV) utenfor merkevaren gjennom populære nettbutikker og videresalgsplattformer. Disse enhetene er kompromittert med en Android-skadevarestamme kjent som Triada .

Nettverket av applikasjoner knyttet til PEACHPIT-botnettet ble oppdaget i svimlende 227 land og territorier. På det meste kontrollerte den omtrent 121 000 Android-enheter per dag og 159 000 iOS-enheter per dag.

En utbredt angrepskampanje som berører hundrevis av forskjellige Android-enhetstyper

Infeksjonene ble tilrettelagt av en samling av 39 applikasjoner, som ble lastet ned og installert over 15 millioner ganger. Enheter infisert med BADBOX malware ga operatørene muligheten til å stjele sensitiv informasjon, etablere proxy-utgangspunkter for boliger og engasjere seg i annonsesvindel gjennom disse villedende applikasjonene.

Den nøyaktige metoden for å kompromittere Android-enheter med fastvarebakdør er foreløpig uklar. Imidlertid er det bevis som peker på et potensielt maskinvareforsyningskjedeangrep knyttet til en kinesisk produsent. Ved å bruke disse kompromitterte enhetene kan trusselaktører opprette WhatsApp-meldingskontoer ved å stjele engangspassord som er lagret på enhetene. Videre kan nettkriminelle bruke disse enhetene til å sette opp Gmail-kontoer, og effektivt omgå typiske botdeteksjonsmekanismer, ettersom disse kontoene ser ut til å være opprettet fra et standard nettbrett eller smarttelefon av en ekte bruker.

Det som er spesielt bekymringsfullt er at over 200 forskjellige typer Android-enheter, inkludert mobiltelefoner, nettbrett og tilkoblede TV-produkter, har vist tegn på BADBOX-infeksjon. Dette tyder på en utbredt og omfattende operasjon orkestrert av trusselaktørene.

Trusselaktører kan endre PEACHPIT-botnettet

Et bemerkelsesverdig aspekt ved ordningen med annonsesvindel involverer bruken av forfalskede applikasjoner designet for Android- og iOS-plattformer. Disse uredelige appene distribueres gjennom store applikasjonsmarkeder, inkludert Google Play Store og Apple App Store, og de lastes også automatisk ned til kompromitterte BADBOX-enheter. Innenfor disse Android-applikasjonene ligger en modul som er ansvarlig for å generere skjulte WebViews. Disse skjulte nettvisningene blir deretter brukt til å sende forespørsler, vise annonser og simulere annonseklikk, alt mens de skjuler disse handlingene som stammer fra legitime applikasjoner.

I samarbeid med nettsikkerhetseksperter har både Apple og Google gjort betydelige fremskritt i å forstyrre denne operasjonen. En oppdatering rullet ut tidligere i 2023 har blitt identifisert som effektivt fjerner modulene som driver PEACHPIT på enheter infisert med BADBOX, som svar på avbøtende tiltak implementert i november 2022. Det er imidlertid mistanker om at angriperne tilpasser taktikken sin i et forsøk på å unngå disse forsvarene.