Botnet PEACHPIT

Oszukańczy botnet znany jako PEACHPIT zaaranżował wykorzystanie setek tysięcy urządzeń z systemem Android i iOS w celu generowania nielegalnych zysków dla osób odpowiedzialnych za tę nielegalną operację. Ten botnet to tylko jeden z elementów szerszej operacji z siedzibą w Chinach, zwanej BADBOX, która obejmuje sprzedaż obcych marek urządzeń mobilnych i telewizji podłączonej (CTV) za pośrednictwem popularnych sprzedawców internetowych i platform odsprzedaży. Urządzenia te są zagrożone przez odmianę złośliwego oprogramowania dla Androida znaną jako Triada .

Sieć aplikacji powiązaną z botnetem PEACHPIT wykryto w aż 227 krajach i terytoriach. W szczytowym okresie kontrolował około 121 000 urządzeń z Androidem dziennie i 159 000 urządzeń z systemem iOS.

Szeroko zakrojona kampania ataków wpływająca na setki różnych typów urządzeń z Androidem

Infekcje ułatwił zbiór 39 aplikacji, które zostały pobrane i zainstalowane ponad 15 milionów razy. Urządzenia zainfekowane złośliwym oprogramowaniem BADBOX zapewniały operatorom możliwość kradzieży poufnych informacji, ustanawiania punktów wyjścia proxy na miejscu i angażowania się w oszustwa reklamowe za pośrednictwem tych zwodniczych aplikacji.

Dokładna metoda włamywania się do urządzeń z Androidem za pomocą backdoora oprogramowania sprzętowego pozostaje obecnie niejasna. Istnieją jednak dowody wskazujące na potencjalny atak na łańcuch dostaw sprzętu powiązany z chińskim producentem. Korzystając z tych zainfekowanych urządzeń, cyberprzestępcy mogą tworzyć konta do przesyłania wiadomości WhatsApp, kradnąc jednorazowe hasła przechowywane na urządzeniach. Co więcej, cyberprzestępcy mogą wykorzystywać te urządzenia do konfigurowania kont Gmail, skutecznie omijając typowe mechanizmy wykrywania botów, ponieważ konta te wydają się być tworzone na standardowym tablecie lub smartfonie przez prawdziwego użytkownika.

Szczególnie niepokojące jest to, że ponad 200 różnych typów urządzeń z Androidem, w tym telefony komórkowe, tablety i telewizory z dostępem do Internetu, wykazywało oznaki infekcji BADBOX. Sugeruje to szeroko zakrojoną i szeroko zakrojoną operację zaaranżowaną przez podmioty zagrażające.

Podmioty zagrażające mogą modyfikować botnet PEACHPIT

Godnym uwagi aspektem oszustwa reklamowego jest wykorzystanie fałszywych aplikacji przeznaczonych na platformy Android i iOS. Te fałszywe aplikacje są dystrybuowane za pośrednictwem głównych rynków aplikacji, w tym Google Play Store i Apple App Store, a także są automatycznie pobierane na zainfekowane urządzenia BADBOX. W tych aplikacjach na Androida znajduje się moduł odpowiedzialny za generowanie ukrytych WebView. Te ukryte widoki WebView są następnie wykorzystywane do wysyłania żądań, wyświetlania reklam i symulowania kliknięć reklam, a wszystko to przy ukrywaniu tych działań jako pochodzących z legalnych aplikacji.

We współpracy z ekspertami ds. cyberbezpieczeństwa zarówno Apple, jak i Google poczyniły znaczne postępy, aby zakłócać tę operację. Stwierdzono, że aktualizacja wdrożona wcześniej w 2023 r. skutecznie usuwa moduły zasilające PEACHPIT na urządzeniach zainfekowanych BADBOX w odpowiedzi na działania zaradcze wdrożone w listopadzie 2022 r. Istnieją jednak podejrzenia, że napastnicy dostosowują swoją taktykę, próbując uniknąć tej obrony.