PEACHPIT Botnet

บอตเน็ตหลอกลวงที่รู้จักกันในชื่อ PEACHPIT ควบคุมการใช้อุปกรณ์ Android และ iOS หลายแสนเครื่องเพื่อสร้างผลกำไรที่ผิดกฎหมายให้กับบุคคลที่รับผิดชอบต่อการดำเนินการที่ผิดกฎหมายนี้ บอตเน็ตนี้เป็นเพียงองค์ประกอบหนึ่งของการดำเนินงานในจีนที่เรียกว่า BADBOX ซึ่งเกี่ยวข้องกับการขายอุปกรณ์มือถือและทีวีที่เชื่อมต่อ (CTV) นอกแบรนด์ผ่านผู้ค้าปลีกออนไลน์ยอดนิยมและแพลตฟอร์มการขายต่อ อุปกรณ์เหล่านี้ถูกโจมตีด้วยมัลแวร์ Android สายพันธุ์ที่เรียกว่า Triada

เครือข่ายแอปพลิเคชันที่เกี่ยวข้องกับบอตเน็ต PEACHPIT ถูกตรวจพบใน 227 ประเทศและดินแดนที่น่าตกใจ เมื่อถึงจุดสูงสุด ควบคุมอุปกรณ์ Android ได้ประมาณ 121,000 เครื่องต่อวัน และอุปกรณ์ iOS 159,000 เครื่องต่อวัน

แคมเปญการโจมตีที่แพร่หลายส่งผลกระทบต่ออุปกรณ์ Android หลายร้อยประเภท

การติดไวรัสได้รับการอำนวยความสะดวกด้วยชุดแอปพลิเคชัน 39 รายการ ซึ่งมีการดาวน์โหลดและติดตั้งมากกว่า 15 ล้านครั้ง อุปกรณ์ที่ติดมัลแวร์ BADBOX ช่วยให้ผู้ให้บริการสามารถขโมยข้อมูลที่ละเอียดอ่อน สร้างจุดออกพร็อกซีในที่พักอาศัย และมีส่วนร่วมในการฉ้อโกงโฆษณาผ่านแอปพลิเคชันหลอกลวงเหล่านี้

วิธีการที่แน่นอนในการประนีประนอมอุปกรณ์ Android ที่มีเฟิร์มแวร์แบ็คดอร์ยังคงไม่ชัดเจนในปัจจุบัน อย่างไรก็ตาม มีหลักฐานที่ชี้ไปที่การโจมตีห่วงโซ่อุปทานฮาร์ดแวร์ที่อาจเกิดขึ้นซึ่งเชื่อมโยงกับผู้ผลิตในจีน การใช้อุปกรณ์ที่ถูกบุกรุกเหล่านี้ ผู้คุกคามสามารถสร้างบัญชีการส่งข้อความ WhatsApp โดยการขโมยรหัสผ่านแบบใช้ครั้งเดียวที่จัดเก็บไว้ในอุปกรณ์ นอกจากนี้ อาชญากรไซเบอร์ยังสามารถใช้อุปกรณ์เหล่านี้เพื่อตั้งค่าบัญชี Gmail โดยเลี่ยงกลไกการตรวจจับบอททั่วไปได้อย่างมีประสิทธิภาพ เนื่องจากบัญชีเหล่านี้ดูเหมือนว่าสร้างขึ้นจากแท็บเล็ตหรือสมาร์ทโฟนมาตรฐานโดยผู้ใช้จริง

สิ่งที่น่ากังวลเป็นพิเศษคืออุปกรณ์ Android มากกว่า 200 ประเภท รวมถึงโทรศัพท์มือถือ แท็บเล็ต และผลิตภัณฑ์ทีวีที่เชื่อมต่อได้แสดงสัญญาณของการติดไวรัส BADBOX สิ่งนี้บ่งบอกถึงการดำเนินการที่กว้างขวางและกว้างขวางซึ่งจัดทำโดยผู้แสดงภัยคุกคาม

ผู้คุกคามอาจปรับเปลี่ยน PEACHPIT Botnet

ลักษณะเด่นประการหนึ่งของแผนการฉ้อโกงโฆษณาเกี่ยวข้องกับการใช้แอปพลิเคชันลอกเลียนแบบที่ออกแบบมาสำหรับแพลตฟอร์ม Android และ iOS แอปที่ฉ้อโกงเหล่านี้เผยแพร่ผ่านตลาดแอปพลิเคชันหลักๆ รวมถึง Google Play Store และ Apple App Store และยังดาวน์โหลดไปยังอุปกรณ์ BADBOX ที่ถูกบุกรุกโดยอัตโนมัติอีกด้วย ภายในแอปพลิเคชัน Android เหล่านี้มีโมดูลที่รับผิดชอบในการสร้าง WebViews ที่ซ่อนอยู่ WebView ที่ซ่อนอยู่เหล่านี้จะถูกนำไปใช้ในเวลาต่อมาเพื่อส่งคำขอ แสดงโฆษณา และจำลองการคลิกโฆษณา ทั้งหมดนี้ในขณะเดียวกันก็ปลอมแปลงการกระทำเหล่านี้ว่ามาจากแอปพลิเคชันที่ถูกต้องตามกฎหมาย

ด้วยการทำงานร่วมกับผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ ทั้ง Apple และ Google ได้สร้างความก้าวหน้าครั้งสำคัญในการขัดขวางการดำเนินการนี้ การอัปเดตที่เผยแพร่ในช่วงต้นปี 2566 ได้รับการระบุว่าเป็นการถอดโมดูลที่จ่ายไฟให้กับ PEACHPIT บนอุปกรณ์ที่ติด BADBOX ออกอย่างมีประสิทธิภาพ เพื่อตอบสนองต่อความพยายามในการบรรเทาผลกระทบที่ดำเนินการในเดือนพฤศจิกายน 2565 อย่างไรก็ตาม มีข้อสงสัยว่าผู้โจมตีกำลังปรับกลยุทธ์ของตนเพื่อพยายาม หลบเลี่ยงการป้องกันเหล่านี้