PEACHPIT-Botnet macht sich infizierte mobile Geräte zunutze

Ein Botnetz namens PEACHPIT, das ein umfangreiches Netzwerk von Android- und iOS-Geräten angriff, wurde von Bedrohungsakteuren genutzt, um illegale Gewinne zu erzielen. Dieses Botnetz ist mit einem größeren Unternehmen namens BADBOX mit Sitz in China verbunden, bei dem es um den Verkauf von Mobil- und Connected-TV-Geräten anderer Marken bei beliebten Online-Händlern und Weiterverkaufsplattformen geht, die alle mit Android-Malware namens Triada infiziert sind.

Laut HUMAN Security wurden PEACHPITs zugehörige Apps in 227 Ländern und Territorien entdeckt, mit einer Spitzenschätzung von 121.000 täglich infizierten Android-Geräten und 159.000 täglich infizierten iOS-Geräten.

Diese Infektion wurde durch eine Reihe von 39 Apps erreicht, die über 15 Millionen Mal heruntergeladen wurden. Geräte, die die BADBOX-Malware enthielten, ermöglichten es den Betreibern, vertrauliche Daten zu stehlen, Proxy-Ausstiegspunkte für Privathaushalte einzurichten und über betrügerische Apps Werbebetrug zu betreiben.

PEACHPIT könnte sich durch einen Angriff auf die Lieferkette verbreiten

Die Methode, mit der Android-Geräte mit einer Firmware-Hintertür kompromittiert werden, ist derzeit unklar, es gibt jedoch Hinweise auf einen Angriff auf die Hardware-Lieferkette, an dem ein chinesischer Hersteller beteiligt ist.

Bedrohungsakteure könnten diese kompromittierten Geräte auch zum Erstellen von WhatsApp- und Gmail-Konten verwenden, was die Erkennung erschwert, da sie scheinbar von echten Benutzern erstellt wurden.

Sicherheitsforscher dokumentierten diese kriminelle Operation erstmals im Mai 2023 und führten sie einer Gruppe namens Lemon Group zu.

HUMAN identifizierte über 200 verschiedene Arten von Android-Geräten, darunter Mobiltelefone, Tablets und CTV-Produkte, die Anzeichen einer BADBOX-Infektion aufwiesen, was auf einen weit verbreiteten Vorfall hindeutet.

Ein wesentlicher Aspekt des Werbebetrugs ist die Verwendung gefälschter Apps in großen App-Stores wie dem Apple App Store und dem Play Store von Google sowie automatische Downloads auf kompromittierte BADBOX-Geräte. Diese Apps enthalten ein Modul, das versteckte WebViews erstellt, um Anzeigen anzufordern, anzuzeigen und mit ihnen zu interagieren, sodass es so aussieht, als kämen die Anfragen von legitimen Apps.

Um diesen Vorgang zu bekämpfen, arbeitete das Betrugspräventionsunternehmen mit Apple und Google zusammen, und die Bedrohungsakteure haben die C2-Server lahmgelegt, die für die Backdoor-Infektion der BADBOX-Firmware verantwortlich sind. Daher gilt der Rest von BADBOX nun als ruhend.