Botnet PEACHPIT

Podvodný botnet známy ako PEACHPIT zorganizoval používanie stoviek tisíc zariadení Android a iOS na generovanie nezákonných ziskov pre jednotlivcov zodpovedných za túto nezákonnú operáciu. Tento botnet je len jednou súčasťou širšej operácie so sídlom v Číne, označovanej ako BADBOX, ktorá zahŕňa predaj neznačkových mobilných a pripojených televíznych (CTV) zariadení prostredníctvom obľúbených online predajcov a platforiem ďalšieho predaja. Tieto zariadenia sú napadnuté kmeňom škodlivého softvéru pre Android známym ako Triada .

Sieť aplikácií spojených s botnetom PEACHPIT bola zistená v ohromujúcich 227 krajinách a územiach. Na svojom vrchole kontroloval približne 121 000 zariadení s Androidom denne a 159 000 zariadení s iOS denne.

Rozsiahla útočná kampaň ovplyvňujúca stovky rôznych typov zariadení Android

Infekciu uľahčila zbierka 39 aplikácií, ktoré boli stiahnuté a nainštalované viac ako 15 miliónov krát. Zariadenia infikované malvérom BADBOX poskytli operátorom možnosť ukradnúť citlivé informácie, vytvoriť výstupné body rezidenčných proxy a zapojiť sa do podvodov s reklamami prostredníctvom týchto klamlivých aplikácií.

Presný spôsob ohrozenia zariadení so systémom Android pomocou backdoor firmvéru zostáva v súčasnosti nejasný. Existujú však dôkazy poukazujúce na potenciálny útok hardvérového dodávateľského reťazca spojený s čínskym výrobcom. Pomocou týchto napadnutých zariadení môžu aktéri hrozieb vytvárať účty na odosielanie správ WhatsApp krádežou jednorazových hesiel uložených v zariadeniach. Okrem toho môžu počítačoví zločinci použiť tieto zariadenia na nastavenie účtov Gmail, čím efektívne obídu typické mechanizmy detekcie robotov, pretože tieto účty sa zdajú byť vytvorené zo štandardného tabletu alebo smartfónu skutočným používateľom.

Obzvlášť znepokojujúce je, že viac ako 200 rôznych typov zariadení so systémom Android, vrátane mobilných telefónov, tabletov a produktov pripojených k televízoru, vykazovalo príznaky infekcie BADBOX. To naznačuje rozsiahlu a rozsiahlu operáciu riadenú aktérmi hrozby.

Aktéri hrozieb môžu upraviť botnet PEACHPIT

Jedným z pozoruhodných aspektov schémy podvodov s reklamami je používanie falošných aplikácií navrhnutých pre platformy Android a iOS. Tieto podvodné aplikácie sa distribuujú prostredníctvom hlavných trhov s aplikáciami vrátane obchodu Google Play Store a Apple App Store a tiež sa automaticky sťahujú do napadnutých zariadení BADBOX. V rámci týchto aplikácií pre Android leží modul zodpovedný za generovanie skrytých WebViews. Tieto skryté webové zobrazenia sa následne používajú na vytváranie požiadaviek, zobrazovanie reklám a simuláciu kliknutí na reklamu, pričom sa tieto akcie maskujú ako akcie pochádzajúce z legitímnych aplikácií.

V spolupráci s odborníkmi na kybernetickú bezpečnosť urobili Apple aj Google významný pokrok v prerušení tejto operácie. Aktualizácia vydaná skôr v roku 2023 bola identifikovaná ako účinne odstraňujúca moduly, ktoré napájajú PEACHPIT na zariadeniach infikovaných vírusom BADBOX, v reakcii na zmierňujúce snahy implementované v novembri 2022. Existujú však podozrenia, že útočníci prispôsobujú svoju taktiku v snahe vyhnúť sa týmto obranným prostriedkom.