PEACHPIT 僵尸网络

一个名为 PEACHPIT 的欺诈性僵尸网络精心策划使用数十万台 Android 和 iOS 设备，为负责这一非法操作的个人赚取非法利润。该僵尸网络只是中国更广泛业务（称为 BADBOX）的组成部分，该业务涉及通过流行的在线零售商和转售平台销售非品牌移动和联网电视 (CTV) 设备。这些设备受到了名为Triada的 Android 恶意软件的攻击。

在 227 个国家和地区检测到与 PEACHPIT 僵尸网络相关的应用程序网络。在巅峰时期，它每天控制约 121,000 台 Android 设备和 159,000 台 iOS 设备。

影响数百种不同 Android 设备类型的广泛攻击活动

这些感染是由 39 个应用程序集合促成的，这些应用程序的下载和安装次数超过 1500 万次。感染 BADBOX 恶意软件的设备使运营商能够窃取敏感信息、建立住宅代理出口点并通过这些欺骗性应用程序进行广告欺诈。

目前尚不清楚通过固件后门攻击 Android 设备的确切方法。然而，有证据表明潜在的硬件供应链攻击与一家中国制造商有关。使用这些受感染的设备，威胁行为者能够通过窃取设备上存储的一次性密码来创建 WhatsApp 消息帐户。此外，网络犯罪分子可以利用这些设备来设置 Gmail 帐户，从而有效地绕过典型的机器人检测机制，因为这些帐户似乎是由真正的用户通过标准平板电脑或智能手机创建的。

尤其令人担忧的是，超过 200 种不同类型的 Android 设备，包括手机、平板电脑和联网电视产品，都出现了 BADBOX 感染的迹象。这表明威胁行为者精心策划了一次广泛而广泛的行动。

威胁参与者可能会修改 PEACHPIT 僵尸网络

广告欺诈计划的一个值得注意的方面是使用专为 Android 和 iOS 平台设计的假冒应用程序。这些欺诈性应用程序通过 Google Play 商店和 Apple App Store 等主要应用程序市场分发，并且还会自动下载到受感染的 BADBOX 设备上。这些 Android 应用程序中有一个模块负责生成隐藏的 WebView。这些隐藏的 WebView 随后用于发出请求、显示广告和模拟广告点击，同时将这些操作伪装成源自合法应用程序。

苹果和谷歌与网络安全专家合作，在破坏这一行为方面取得了重大进展。 2023 年初推出的更新已被确定有效删除了感染 BADBOX 的设备上为 PEACHPIT 供电的模块，以响应 2022 年 11 月实施的缓解措施。然而，有人怀疑攻击者正在调整其策略，以期躲避这些防御。