PEACHPIT-botnet

Een frauduleus botnet, bekend als PEACHPIT, orkestreerde het gebruik van honderdduizenden Android- en iOS-apparaten om onrechtmatige winsten te genereren voor de personen die verantwoordelijk zijn voor deze illegale operatie. Dit botnet is slechts een onderdeel van een bredere operatie in China, genaamd BADBOX, die de verkoop omvat van mobiele en aangesloten tv-apparaten (CTV) van een ander merk via populaire online retailers en wederverkoopplatforms. Deze apparaten zijn besmet met een Android-malwaresoort die bekend staat als Triada .

Het netwerk van applicaties die verband houden met het PEACHPIT-botnet werd gedetecteerd in maar liefst 227 landen en gebieden. Op zijn hoogtepunt controleerde het ongeveer 121.000 Android-apparaten per dag en 159.000 iOS-apparaten per dag.

Een wijdverbreide aanvalscampagne die honderden verschillende typen Android-apparaten treft

De infecties werden mogelijk gemaakt door een verzameling van 39 applicaties, die meer dan 15 miljoen keer werden gedownload en geïnstalleerd. Apparaten die met de BADBOX-malware waren geïnfecteerd, boden de operators de mogelijkheid om gevoelige informatie te stelen, proxy-uitgangspunten voor thuisgebruik op te zetten en via deze misleidende applicaties reclamefraude te plegen.

De exacte methode om Android-apparaten met een firmware-achterdeur in gevaar te brengen, blijft op dit moment onduidelijk. Er zijn echter aanwijzingen die wijzen op een mogelijke hardware-aanval op de toeleveringsketen die verband houdt met een Chinese fabrikant. Met behulp van deze gecompromitteerde apparaten kunnen bedreigingsactoren WhatsApp-berichtenaccounts aanmaken door eenmalige wachtwoorden te stelen die op de apparaten zijn opgeslagen. Bovendien kunnen cybercriminelen deze apparaten gebruiken om Gmail-accounts in te stellen, waarbij ze de typische botdetectiemechanismen effectief omzeilen, aangezien deze accounts door een echte gebruiker lijken te zijn gemaakt vanaf een standaardtablet of smartphone.

Wat vooral zorgwekkend is, is dat meer dan 200 verschillende soorten Android-apparaten, waaronder mobiele telefoons, tablets en aangesloten tv-producten, tekenen van een BADBOX-infectie vertonen. Dit duidt op een wijdverbreide en uitgebreide operatie, georkestreerd door de dreigingsactoren.

Bedreigingsactoren kunnen het PEACHPIT-botnet wijzigen

Een opvallend aspect van het advertentiefraudeprogramma betreft het gebruik van nagemaakte applicaties die zijn ontworpen voor Android- en iOS-platforms. Deze frauduleuze apps worden verspreid via grote applicatiemarktplaatsen, waaronder de Google Play Store en de Apple App Store, en worden ook automatisch gedownload naar gecompromitteerde BADBOX-apparaten. Binnen deze Android-applicaties bevindt zich een module die verantwoordelijk is voor het genereren van verborgen WebViews. Deze verborgen WebViews worden vervolgens gebruikt om verzoeken in te dienen, advertenties weer te geven en advertentieklikken te simuleren, terwijl deze acties worden vermomd als afkomstig van legitieme applicaties.

In samenwerking met cybersecurity-experts hebben zowel Apple als Google aanzienlijke vooruitgang geboekt bij het verstoren van deze operatie. Er is vastgesteld dat een update die eerder in 2023 werd uitgerold, effectief de modules verwijdert die PEACHPIT van stroom voorzien op apparaten die zijn geïnfecteerd met BADBOX, als reactie op mitigatie-inspanningen die in november 2022 zijn geïmplementeerd. Er bestaan echter vermoedens dat de aanvallers hun tactieken aanpassen in een poging om ontwijk deze verdedigingen.