PEACHPIT Botnet-seler inficerede mobile enheder
Et botnet kendt som PEACHPIT, som involverede et omfattende netværk af Android- og iOS-enheder, blev brugt af trusselsaktører til at generere ulovlig fortjeneste. Dette botnet er knyttet til en større operation kaldet BADBOX baseret i Kina, som involverer salg af off-brand mobile og tilsluttede tv-enheder på populære online-forhandlere og videresalgsplatforme, som alle er kompromitteret med Android-malware kaldet Triada.
PEACHPITs tilknyttede apps blev opdaget i 227 lande og territorier, med et maksimalestimat på 121.000 daglige inficerede Android-enheder og 159.000 daglige inficerede iOS-enheder, ifølge HUMAN Security.
Denne infektion blev opnået gennem et sæt af 39 apps, der blev downloadet over 15 millioner gange. Enheder, der indeholdt BADBOX-malwaren, gjorde det muligt for operatørerne at stjæle følsomme data, etablere proxy-udgangspunkter til boliger og deltage i annoncesvindel gennem svigagtige apps.
PEACHPIT kan spredes gennem forsyningskædeangreb
Metoden, hvormed Android-enheder kompromitteres med en firmware-bagdør, er i øjeblikket uklar, men der er indikationer på et hardwareforsyningskædeangreb, der involverer en kinesisk producent.
Trusselaktører kunne også bruge disse kompromitterede enheder til at oprette WhatsApp- og Gmail-konti, hvilket gør det vanskeligt at opdage, da de ser ud til at være oprettet af ægte brugere.
Sikkerhedsforskere dokumenterede først denne kriminelle operation i maj 2023 og tilskrev den til en gruppe kaldet Lemon Group.
HUMAN identificerede over 200 forskellige typer Android-enheder, inklusive mobiltelefoner, tablets og CTV-produkter, der viste tegn på BADBOX-infektion, hvilket indikerer en udbredt operation.
Et væsentligt aspekt af annoncesvindelordningen er brugen af forfalskede apps i store app-butikker som Apple App Store og Googles Play Store, samt automatiske downloads til kompromitterede BADBOX-enheder. Disse apps indeholder et modul, der opretter skjulte WebViews til at anmode om, vise og interagere med annoncer, hvilket får det til at se ud, som om anmodningerne kommer fra legitime apps.
For at bekæmpe denne operation samarbejdede firmaet til forebyggelse af svindel med Apple og Google, og trusselsaktørerne har fjernet de C2-servere, der er ansvarlige for BADBOX-firmware-bagdørsinfektionen. Som følge heraf betragtes resten af BADBOX nu som hvilende.
