Botnet PEACHPIT

Goljufivi botnet, znan kot PEACHPIT, je orkestriral uporabo več sto tisoč naprav Android in iOS za ustvarjanje nezakonitega dobička za posameznike, odgovorne za to nezakonito operacijo. Ta botnet je le ena komponenta širše operacije s sedežem na Kitajskem, imenovane BADBOX, ki vključuje prodajo mobilnih in povezanih TV (CTV) naprav drugih blagovnih znamk prek priljubljenih spletnih prodajalcev in platform za nadaljnjo prodajo. Te naprave so ogrožene z zlonamerno programsko opremo Android, znano kot Triada .

Omrežje aplikacij, povezanih z botnetom PEACHPIT, je bilo odkrito v osupljivih 227 državah in ozemljih. Na vrhuncu je nadzoroval približno 121.000 naprav Android na dan in 159.000 naprav iOS na dan.

Široko razširjena napadalna kampanja, ki prizadene na stotine različnih vrst naprav Android

Okužbe je omogočila zbirka 39 aplikacij, ki so bile prenesene in nameščene več kot 15-milijonkrat. Naprave, okužene z zlonamerno programsko opremo BADBOX, so operaterjem omogočile krajo občutljivih informacij, vzpostavitev izhodnih točk proxy za stanovanja in vključevanje v goljufije z oglasi prek teh zavajajočih aplikacij.

Natančen način ogrožanja naprav Android z backdoorjem vdelane programske opreme trenutno ostaja nejasen. Vendar pa obstajajo dokazi, ki kažejo na potencialni napad na dobavno verigo strojne opreme, povezan s kitajskim proizvajalcem. Z uporabo teh ogroženih naprav lahko akterji groženj ustvarijo račune za sporočanje WhatsApp tako, da ukradejo enkratna gesla, shranjena v napravah. Poleg tega lahko kibernetski kriminalci uporabijo te naprave za nastavitev Gmailovih računov, pri čemer učinkovito zaobidejo običajne mehanizme zaznavanja botov, saj se zdi, da so ti računi ustvarjeni iz standardne tablice ali pametnega telefona s strani pravega uporabnika.

Še posebej zaskrbljujoče je, da je več kot 200 različnih vrst naprav Android, vključno z mobilnimi telefoni, tabličnimi računalniki in povezanimi televizijskimi izdelki, pokazalo znake okužbe z BADBOX. To kaže na razširjeno in obsežno operacijo, ki so jo orkestrirali akterji groženj.

Akterji groženj lahko spremenijo botnet PEACHPIT

Eden od pomembnih vidikov sheme goljufij z oglasi vključuje uporabo ponarejenih aplikacij, zasnovanih za platformi Android in iOS. Te goljufive aplikacije se distribuirajo prek večjih tržnic aplikacij, vključno s trgovino Google Play in Apple App Store, poleg tega pa se samodejno prenesejo na ogrožene naprave BADBOX. V teh aplikacijah za Android je modul, odgovoren za ustvarjanje skritih spletnih pogledov. Ti skriti spletni pogledi se nato uporabijo za pošiljanje zahtev, prikazovanje oglasov in simulacijo klikov oglasov, pri čemer se ta dejanja prikrijejo, kot da izvirajo iz zakonitih aplikacij.

Apple in Google sta v sodelovanju s strokovnjaki za kibernetsko varnost naredila pomembne korake pri preprečevanju te operacije. Ugotovljeno je bilo, da posodobitev, ki je bila uvedena prej leta 2023, učinkovito odstranjuje module, ki poganjajo PEACHPIT na napravah, okuženih z BADBOX, kot odgovor na prizadevanja za ublažitev, izvedena novembra 2022. Vendar pa obstajajo sumi, da napadalci prilagajajo svojo taktiko, da bi izogniti se tej obrambi.