PEACHPIT Bottnet

O rețea botnet frauduloasă cunoscută sub numele de PEACHPIT a orchestrat utilizarea a sute de mii de dispozitive Android și iOS pentru a genera profituri ilegale pentru persoanele responsabile de această operațiune ilicită. Acest botnet este doar o componentă a unei operațiuni mai largi cu sediul în China, denumită BADBOX, care implică vânzarea de dispozitive mobile și TV conectate (CTV) în afara mărcii prin comercianții cu amănuntul online populari și platforme de revânzare. Aceste dispozitive sunt compromise de o tulpină de malware Android cunoscută sub numele de Triada .

Rețeaua de aplicații asociată cu botnetul PEACHPIT a fost detectată într-un număr uimitor de 227 de țări și teritorii. La vârf, a controlat aproximativ 121.000 de dispozitive Android pe zi și 159.000 de dispozitive iOS pe zi.

O campanie de atac pe scară largă care afectează sute de tipuri diferite de dispozitive Android

Infecțiile au fost facilitate de o colecție de 39 de aplicații, care au fost descărcate și instalate de peste 15 milioane de ori. Dispozitivele infectate cu malware-ul BADBOX le-au oferit operatorilor capacitatea de a fura informații sensibile, de a stabili puncte de ieșire de proxy rezidențiale și de a se angaja în fraude publicitare prin aceste aplicații înșelătoare.

Metoda exactă de a compromite dispozitivele Android cu o ușă din spate firmware rămâne neclară în prezent. Cu toate acestea, există dovezi care indică un potențial atac al lanțului de aprovizionare hardware legat de un producător chinez. Folosind aceste dispozitive compromise, actorii amenințărilor pot crea conturi de mesagerie WhatsApp prin furtul parolelor unice stocate pe dispozitive. Mai mult, infractorii cibernetici pot folosi aceste dispozitive pentru a configura conturi Gmail, ocolind efectiv mecanismele tipice de detectare a botului, deoarece aceste conturi par a fi create de pe o tabletă sau smartphone standard de către un utilizator autentic.

Ceea ce este deosebit de îngrijorător este faptul că peste 200 de tipuri diferite de dispozitive Android, inclusiv telefoane mobile, tablete și produse TV conectate, au prezentat semne de infecție cu BADBOX. Acest lucru sugerează o operațiune pe scară largă și extinsă orchestrată de actorii amenințărilor.

Actorii de amenințări pot modifica rețeaua botnet PEACHPIT

Un aspect notabil al schemei de fraudă publicitară implică utilizarea de aplicații contrafăcute concepute pentru platformele Android și iOS. Aceste aplicații frauduloase sunt distribuite prin piețele majore de aplicații, inclusiv Google Play Store și Apple App Store, și sunt, de asemenea, descărcate automat pe dispozitivele BADBOX compromise. În cadrul acestor aplicații Android se află un modul responsabil cu generarea de WebView-uri ascunse. Aceste WebView ascunse sunt ulterior folosite pentru a face solicitări, a afișa reclame și a simula clicuri pe anunțuri, toate în timp ce deghizează aceste acțiuni ca provenind din aplicații legitime.

Lucrând în colaborare cu experți în securitate cibernetică, atât Apple, cât și Google au făcut progrese semnificative în perturbarea acestei operațiuni. O actualizare lansată la începutul anului 2023 a fost identificată ca eliminând efectiv modulele care alimentează PEACHPIT pe dispozitivele infectate cu BADBOX, ca răspuns la eforturile de atenuare implementate în noiembrie 2022. Cu toate acestea, există suspiciuni că atacatorii își adaptează tacticile într-un efort de a sustrage aceste apărări.