PEACHPIT Botnet

Лажни ботнет познат као ПЕАЦХПИТ је организовао коришћење стотина хиљада Андроид и иОС уређаја за генерисање незаконитог профита за појединце одговорне за ову незакониту операцију. Овај ботнет је само једна компонента шире операције са седиштем у Кини, која се назива БАДБОКС, која укључује продају мобилних и повезаних ТВ (ЦТВ) уређаја ван бренда преко популарних онлајн продаваца и платформи за препродају. Ови уређаји су компромитовани Андроид малвером познатим као Триада .

Мрежа апликација повезаних са ПЕАЦХПИТ ботнетом откривена је у невероватних 227 земаља и територија. На свом врхунцу, контролисао је приближно 121.000 Андроид уређаја дневно и 159.000 иОС уређаја дневно.

Широко распрострањена нападна кампања која утиче на стотине различитих типова Андроид уређаја

Заразе је олакшала збирка од 39 апликација, које су преузете и инсталиране преко 15 милиона пута. Уређаји заражени БАДБОКС малвером дали су оператерима могућност да украду осетљиве информације, успоставе излазне тачке стамбеног прокси сервера и учествују у преварама са огласима путем ових обмањујућих апликација.

Тачан метод компромитовања Андроид уређаја са бацкдоором фирмвера тренутно остаје нејасан. Међутим, постоје докази који указују на потенцијални напад на ланац набавке хардвера повезан са кинеским произвођачем. Користећи ове компромитоване уређаје, актери претњи могу да креирају ВхатсАпп налоге за размену порука крадом једнократних лозинки ускладиштених на уређајима. Штавише, сајбер криминалци могу користити ове уређаје за постављање Гмаил налога, ефективно заобилазећи типичне механизме за откривање ботова, јер се чини да су ови налози направљени са стандардног таблета или паметног телефона од стране правог корисника.

Оно што је посебно забрињавајуће је да је преко 200 различитих типова Андроид уређаја, укључујући мобилне телефоне, таблете и повезане ТВ производе, показало знаке БАДБОКС инфекције. Ово сугерише широко распрострањену и опсежну операцију коју су оркестрирали актери претњи.

Актери претњи могу да модификују ПЕАЦХПИТ ботнет

Један значајан аспект шеме преваре са огласима укључује коришћење фалсификованих апликација дизајнираних за Андроид и иОС платформе. Ове лажне апликације се дистрибуирају преко главних тржишта апликација укључујући Гоогле Плаи Сторе и Аппле Апп Сторе, а такође се аутоматски преузимају на угрожене БАДБОКС уређаје. Унутар ових Андроид апликација налази се модул одговоран за генерисање скривених ВебВиев-а. Ови скривени ВебВиев-и се касније користе за прављење захтева, приказивање огласа и симулацију кликова на огласе, а све то прикривајући ове радње да потичу од легитимних апликација.

Радећи у сарадњи са стручњацима за сајбер безбедност, и Аппле и Гоогле су направили значајан напредак у ометању ове операције. Ажурирање објављено раније 2023. идентификовано је као ефикасно уклањање модула који напајају ПЕАЦХПИТ на уређајима зараженим БАДБОКС-ом, као одговор на напоре за ублажавање утицаја спроведене у новембру 2022. Међутим, постоје сумње да нападачи прилагођавају своју тактику у покушају да избегавати ову одбрану.