PEACHPIT Botnet

Một mạng botnet lừa đảo có tên PEACHPIT đã dàn dựng việc sử dụng hàng trăm nghìn thiết bị Android và iOS để tạo ra lợi nhuận bất hợp pháp cho các cá nhân chịu trách nhiệm về hoạt động bất hợp pháp này. Botnet này chỉ là một thành phần của hoạt động rộng lớn hơn có trụ sở tại Trung Quốc, được gọi là BADBOX, liên quan đến việc bán các thiết bị di động và TV kết nối (CTV) không có thương hiệu thông qua các nhà bán lẻ trực tuyến phổ biến và các nền tảng bán lại. Các thiết bị này bị xâm nhập bởi một loại phần mềm độc hại Android có tên Triada .

Mạng lưới các ứng dụng liên quan đến botnet PEACHPIT đã bị phát hiện ở 227 quốc gia và vùng lãnh thổ. Vào thời kỳ đỉnh cao, nó kiểm soát khoảng 121.000 thiết bị Android mỗi ngày và 159.000 thiết bị iOS mỗi ngày.

Chiến dịch tấn công diện rộng ảnh hưởng đến hàng trăm loại thiết bị Android khác nhau

Sự lây nhiễm được tạo điều kiện thuận lợi bởi một bộ sưu tập gồm 39 ứng dụng, được tải xuống và cài đặt hơn 15 triệu lần. Các thiết bị bị nhiễm phần mềm độc hại BADBOX đã cung cấp cho các nhà khai thác khả năng đánh cắp thông tin nhạy cảm, thiết lập các điểm thoát proxy dân cư và tham gia gian lận quảng cáo thông qua các ứng dụng lừa đảo này.

Hiện tại, phương pháp chính xác để xâm phạm các thiết bị Android có cửa hậu chương trình cơ sở vẫn chưa rõ ràng. Tuy nhiên, có bằng chứng chỉ ra một cuộc tấn công chuỗi cung ứng phần cứng tiềm ẩn có liên quan đến một nhà sản xuất Trung Quốc. Bằng cách sử dụng các thiết bị bị xâm nhập này, kẻ tấn công có thể tạo tài khoản nhắn tin WhatsApp bằng cách lấy cắp mật khẩu một lần được lưu trữ trên thiết bị. Hơn nữa, tội phạm mạng có thể sử dụng các thiết bị này để thiết lập tài khoản Gmail, vượt qua các cơ chế phát hiện bot thông thường một cách hiệu quả, vì những tài khoản này dường như được tạo từ máy tính bảng hoặc điện thoại thông minh tiêu chuẩn bởi người dùng chính hãng.

Điều đặc biệt đáng lo ngại là hơn 200 loại thiết bị Android khác nhau, bao gồm điện thoại di động, máy tính bảng và các sản phẩm TV được kết nối, đã có dấu hiệu nhiễm BADBOX. Điều này cho thấy một hoạt động rộng khắp và quy mô được dàn dựng bởi các tác nhân đe dọa.

Các tác nhân đe dọa có thể sửa đổi Botnet PEACHPIT

Một khía cạnh đáng chú ý của kế hoạch gian lận quảng cáo liên quan đến việc sử dụng các ứng dụng giả mạo được thiết kế cho nền tảng Android và iOS. Những ứng dụng lừa đảo này được phân phối thông qua các chợ ứng dụng lớn bao gồm Cửa hàng Google Play và Apple App Store, đồng thời chúng cũng được tự động tải xuống các thiết bị BADBOX bị xâm nhập. Trong các ứng dụng Android này có một mô-đun chịu trách nhiệm tạo các WebView ẩn. Các WebView ẩn này sau đó được sử dụng để thực hiện các yêu cầu, hiển thị quảng cáo và mô phỏng các lần nhấp vào quảng cáo, đồng thời ngụy trang những hành động này là có nguồn gốc từ các ứng dụng hợp pháp.

Hợp tác với các chuyên gia an ninh mạng, cả Apple và Google đều đã có những bước tiến đáng kể trong việc phá vỡ hoạt động này. Một bản cập nhật được tung ra trước đó vào năm 2023 đã được xác định là có khả năng loại bỏ hiệu quả các mô-đun hỗ trợ PEACHPIT trên các thiết bị bị nhiễm BADBOX, nhằm đáp lại các nỗ lực giảm thiểu được thực hiện vào tháng 11 năm 2022. Tuy nhiên, có nghi ngờ rằng những kẻ tấn công đang điều chỉnh chiến thuật của chúng nhằm cố gắng trốn tránh những sự phòng thủ này.