PEACHPIT Botnet

Мошеннический ботнет, известный как PEACHPIT, организовал использование сотен тысяч устройств Android и iOS для получения незаконной прибыли лицам, ответственным за эту незаконную операцию. Этот ботнет является лишь одним из компонентов более широкой операции, базирующейся в Китае, получившей название BADBOX, которая включает в себя продажу небрендовых мобильных устройств и устройств с подключенным телевидением (CTV) через популярные интернет-магазины и платформы перепродажи. Эти устройства заражены вредоносным ПО для Android, известным как Triada .

Сеть приложений, связанных с ботнетом PEACHPIT, была обнаружена в 227 странах и территориях. На пике своего развития он контролировал примерно 121 000 устройств Android в день и 159 000 устройств iOS в день.

Масштабная атака, затронувшая сотни различных типов Android-устройств

Заражению способствовал набор из 39 приложений, которые были загружены и установлены более 15 миллионов раз. Устройства, зараженные вредоносным ПО BADBOX, давали операторам возможность красть конфиденциальную информацию, устанавливать точки выхода через резидентные прокси-серверы и участвовать в рекламном мошенничестве с помощью этих мошеннических приложений.

Точный метод компрометации Android-устройств с помощью бэкдора прошивки в настоящее время остается неясным. Однако есть доказательства, указывающие на потенциальную атаку на цепочку поставок оборудования, связанную с китайским производителем. Используя эти взломанные устройства, злоумышленники могут создавать учетные записи обмена сообщениями WhatsApp, крадя одноразовые пароли, хранящиеся на устройствах. Кроме того, киберпреступники могут использовать эти устройства для настройки учетных записей Gmail, эффективно обходя типичные механизмы обнаружения ботов, поскольку эти учетные записи кажутся созданными реальным пользователем на обычном планшете или смартфоне.

Что особенно беспокоит, так это то, что более 200 различных типов устройств Android, включая мобильные телефоны, планшеты и подключенные ТВ-продукты, имеют признаки заражения BADBOX. Это предполагает широкомасштабную и масштабную операцию, организованную злоумышленниками.

Злоумышленники могут модифицировать ботнет PEACHPIT

Одним из примечательных аспектов схемы мошенничества с рекламой является использование поддельных приложений, разработанных для платформ Android и iOS. Эти мошеннические приложения распространяются через основные магазины приложений, включая Google Play Store и Apple App Store, а также автоматически загружаются на взломанные устройства BADBOX. В этих приложениях для Android есть модуль, отвечающий за создание скрытых WebView. Эти скрытые веб-представления впоследствии используются для отправки запросов, отображения рекламы и имитации кликов по рекламе, при этом маскируя эти действия как исходящие от законных приложений.

Работая в сотрудничестве с экспертами по кибербезопасности, Apple и Google добились значительных успехов в пресечении этой операции. Обновление, выпущенное ранее в 2023 году, было идентифицировано как эффективное удаление модулей, обеспечивающих работу PEACHPIT на устройствах, зараженных BADBOX, в ответ на меры по смягчению последствий, предпринятые в ноябре 2022 года. Однако есть подозрения, что злоумышленники адаптируют свою тактику, чтобы обойти эту защиту.